指的是用户权限不明晰。
垂直越权:低权限用户,在无任何身份校验的情况下,能够使用高权
限(不属于自己)模块(功能),或访问高权限拥有的数据;
水平越权:指相同权限用户之间,用户私有数据能够在无身份认证情 况下互相随意访问 ( 关键敏感数据才算,公开数据不算 ) ;
垂直 : 不同功能模块,通过身份认证确认(除了访问之外,能操作)
水平 : 同权限模块,通过不同数据确认
项目中注意向客户索取 2 个不同权限的账号
pikachu 水平
用户 lili 登录后,通过参数 username 访问到同权限用户的敏感数据
pikachu 垂直越权
普通用户 pikachu (仅有查看权限),通过访问 url : http://pikachutaoxin.gxalabs.com/vul/overperm
ission/op2/op2_admin_edit.php ,可直接添加用户,
常见的身份认证手段
php : cookie 、 session
java : jwt ( json web token )
jwt 中会存在 Authorization
