技術問答
技術文章
iT 徵才
Tag
聊天室
2023 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
2019 iT 邦幫忙鐵人賽
0
Security
資訊安全大補帖
系列 第
46
篇
資安補帖─Day46─滲透測試─平行越權
2019鐵人賽
飛飛
團隊
MeowMeow
2018-11-25 23:56:26
3974 瀏覽
分享至
前言
不知道上一篇怎麼突然有衝到500瀏覽量,
嚇到我了QQ
不管怎麼樣,就繼續走下去,
謝謝大家訂閱我XD
何謂平行越權
例子:相同功能,A使用者卻可以使用B使用者的。
Top 10-2017 A5-Broken Access Control
無效權限控管
來自 OWASP
攻擊弱點分析
權限控管未詳細驗證
未檢查使用者是否有權限可查閱(或新增、修改、刪除)該項資料
檢查權限但可能因
邏輯錯誤
而造成攻擊者可繞過驗證
攻擊手法
攔截封包
可透過瀏覽器開發者工具(F12)查看
點選 Network 即可查閱封包
封包分析
查看封包結構(如GET或POST參數內容)
可能是會員帳號、會員ID或Token等可代表會員的參數
重送封包
查看重送封包後的 Response
是否可訪問到非自身可查閱之內容
如果是,則進行深入攻擊
如果否,則尋找其他可疑之脆弱點
修復建議
認真檢視權限控管
參考資料
Google Keyword :
滲透測試 平行越權
平行越權漏洞(上)
介紹修改密碼平行越權案例分析
平行越權漏洞(下)
介紹越權漏洞類型(平行、垂直、交叉)
金融行業平台常見安全漏洞與防禦
談多筆案例分析內容
留言
追蹤
檢舉
上一篇
資安補帖─Day45─資安常識小題庫
下一篇
資安補帖─Day47─WAF
系列文
資訊安全大補帖
共
53
篇
目錄
RSS系列文
訂閱系列文
241
人訂閱
49
資安補帖─Day49─推薦閱讀:PHP安全日曆(PHP SECURITY CALENDAR)
50
資安補帖─Day50─淺談GDPR
51
資安補帖─Day51─Bug Bounty
52
資安補帖─Day52─漏洞環境測試與部屬
53
活動宣傳─2019.03.14資安攻防演練主題講座
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1123
組
團體組數
52
組
累計文章數
23096
篇
完賽人數
656
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
2018鐵人賽
javascript
2017鐵人賽
python
windows
php
c#
windows server
linux
css
程式設計
react
vue.js
熱門問題
請問我晚上開發一款工具,早上給公司使用,沒特別條款,法律知識產權還是我的嗎?
請教外網如何連到家裡內部裝置
老婆line被盜用換sin卡也無法拿回帳號使用權
自家官網連線不到 (已解決)
請問公司網路通暢,卻部分固定的使用者無法連到特定網頁 ,求救~~~
ISO 27001改版輔導顧問公司推薦
請教各位前輩關於 IT 管理者為 User 重設 AD 帳號的密碼的行政流程
自我改善工作人際態度邊界
遠端連線到虛擬機器上,並希望能聽到音效
請問有提供對外http連線服務的主機,都需要上SSL嗎?
熱門回答
如果當超人拯救了別人,世界真的需要超人嗎?
自家官網連線不到 (已解決)
請問有提供對外http連線服務的主機,都需要上SSL嗎?
請問公司網路通暢,卻部分固定的使用者無法連到特定網頁 ,求救~~~
ISO 27001改版輔導顧問公司推薦
熱門文章
Vigor Router Firewall NAT 一開全球通,如何做限制,只允許白名單IP通過,甚至敲門再開 TOTP 驗證
使用JS解構賦值踩到的雷
幫多階段 Dockerfile 除錯紀錄
你知道駭客如何入侵你的網站嗎?
WINDOWS遠端桌面的連接PORT如何修改
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}