技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
2019 iT 邦幫忙鐵人賽
0
Security
資訊安全大補帖
系列 第
46
篇
資安補帖─Day46─滲透測試─平行越權
2019鐵人賽
飛飛
團隊
MeowMeow
2018-11-25 23:56:26
5043 瀏覽
分享至
前言
不知道上一篇怎麼突然有衝到500瀏覽量,
嚇到我了QQ
不管怎麼樣,就繼續走下去,
謝謝大家訂閱我XD
何謂平行越權
例子:相同功能,A使用者卻可以使用B使用者的。
Top 10-2017 A5-Broken Access Control
無效權限控管
來自 OWASP
攻擊弱點分析
權限控管未詳細驗證
未檢查使用者是否有權限可查閱(或新增、修改、刪除)該項資料
檢查權限但可能因
邏輯錯誤
而造成攻擊者可繞過驗證
攻擊手法
攔截封包
可透過瀏覽器開發者工具(F12)查看
點選 Network 即可查閱封包
封包分析
查看封包結構(如GET或POST參數內容)
可能是會員帳號、會員ID或Token等可代表會員的參數
重送封包
查看重送封包後的 Response
是否可訪問到非自身可查閱之內容
如果是,則進行深入攻擊
如果否,則尋找其他可疑之脆弱點
修復建議
認真檢視權限控管
參考資料
Google Keyword :
滲透測試 平行越權
平行越權漏洞(上)
介紹修改密碼平行越權案例分析
平行越權漏洞(下)
介紹越權漏洞類型(平行、垂直、交叉)
金融行業平台常見安全漏洞與防禦
談多筆案例分析內容
留言
追蹤
檢舉
上一篇
資安補帖─Day45─資安常識小題庫
下一篇
資安補帖─Day47─WAF
系列文
資訊安全大補帖
共
53
篇
目錄
RSS系列文
訂閱系列文
247
人訂閱
49
資安補帖─Day49─推薦閱讀:PHP安全日曆(PHP SECURITY CALENDAR)
50
資安補帖─Day50─淺談GDPR
51
資安補帖─Day51─Bug Bounty
52
資安補帖─Day52─漏洞環境測試與部屬
53
活動宣傳─2019.03.14資安攻防演練主題講座
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
902
組
團體組數
37
組
累計文章數
16805
篇
完賽人數
198
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
17th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
linux
windows server
css
react
熱門問題
發文一直被判定廣告或垃圾訊息
excel web adi 巨集,出現網頁指令碼錯誤
如何控制被我走私的Web Shell?
opencart4.1套件更新
dreambooth報錯:hidden_size
熱門回答
熱門文章
[為你自己學 n8n] 第 18 天,我的 Line 機器人會記帳!(下)
[為你自己學 n8n] 第 17 天,我的 Line 機器人會記帳!(中)
[為你自己學 n8n] 第 19 天,n8n 名片王(上)
07-03:Google生態系整合應用
第18天,Cloudflare Gateway 裝置網路守門員 / 蚵仔之家 | 30天板橋湳雅夜市
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}