漏洞分享之-越权

本文介绍了OWASP TOP10的漏洞类型之一----越权漏洞。

内容包括：越权简介、访问控制类型、越权漏洞类型以及对应的案例。希望对大家有帮助。

名词定义：定义了在越权漏洞中我们需要了解的一些专业名词。

概述：介绍了漏洞定义、产生原因以及漏洞分类。

常见的三种访问控制类型：基于URL的访问控制、基于数据的访问控制以及基于角色的访问控制。

越权访问发生在存在增、删、改、查的页面。

水平越权：也可称为基于数据的访问控制问题。问题主要在于访问仅验证了数据的id，未验证用户是否有权限访问。

垂直越权：也称为基于角色的访问控制问题。简单说，系统未对用户是否有权限访问此条数据进行判断。

垂直越权的案例：低权限用户可越权查询高权限用户的数据。

参考链接：

讲讲越权那些事：https://www.secpulse.com/archives/4159.html

Web安全测试中常见逻辑漏洞解析（实战篇）：http://www.freebuf.com/vuls/112339.html

WEB安全系列之《如何挖掘越权漏洞》：https://www.jianshu.com/p/5720f5137529