E.失效的访问控制
E1.水平越权
概念:
A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为水平越权操作。
漏洞描述:
A用户登录后查看个人信息,在url中修改username为B用户即可查看B用户个人信息。
修正措施:
后台在获取到用户名的时候,需要和当前登录态的用户名作对比,不是就拒绝掉,防止出现水平越权的操作。
E2.垂直越权
概念:
A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权。
漏洞描述:
B用户操作时抓包,将B用户的cookie替换为A用户的cookie,操作同样生效。
修正措施:
判断A用户和B用户的级别,高级别操作时的代码不仅要验证是否为登录态,还要进行级别验证,防止出现垂直越权的操作。