社区
云安全
帖子详情
大佬们,这种场景是否属于越权操作?
tigerJGG
2019-10-16 10:14:39
我们有一个导出当前页面pdf表格的公用接口,处理逻辑就是把当前页面数据格式化传到后台,数据包含页面列表的表格头和行数据,然后在后台组成pdf表格最终导出,后台并没有任何的增删改查。
现在有两个角色:配置角色和业务角色,都可以调用这个接口,然后我登陆业务角色账号,调用这个接口,然后取出post请求的参数。然后登陆配置角色账号调用这个接口,拦截post请求,然后将业务角色的数据与配置角色的数据替换,最后导出的pdf是包含业务角色数据的表格。
这样属于越权操作吗?
...全文
233
1
打赏
收藏
大佬们,这种场景是否属于越权操作?
我们有一个导出当前页面pdf表格的公用接口,处理逻辑就是把当前页面数据格式化传到后台,数据包含页面列表的表格头和行数据,然后在后台组成pdf表格最终导出,后台并没有任何的增删改查。 现在有两个角色:配置角色和业务角色,都可以调用这个接口,然后我登陆业务角色账号,调用这个接口,然后取出post请求的参数。然后登陆配置角色账号调用这个接口,拦截post请求,然后将业务角色的数据与配置角色的数据替换,最后导出的pdf是包含业务角色数据的表格。 这样属于越权操作吗?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
1 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
「已注销」
2020-06-19
打赏
举报
回复
配置角色账号本身有没有导出权限呢,并且导出的信息为业务角色的数据也算
21-逻辑
越权
通过低权限账户身份的账户,发送高权限账号才能有的请求,获取更高权限的
操作
。垂直
越权
测试思路:看看低权限用户
是否
能
越权
使用高权限用户的功能,比如普通用户可以使用管理员的功能。指相同权限下不同的用户可以互相访问水平
越权
测试方法:主要通过看看能否通过A用户
操作
影响到B用户。
安全测试实践,万家APP
越权
逻辑漏洞挖掘 —— 京东云技术团队
逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险,本文从安全测试的角度,以
越权
逻辑漏洞为例,介绍逻辑漏洞的挖掘方法和实践过程。一、什么是
越权
逻辑漏洞定义: 指由于系统的权限控制逻辑不够严谨,使得系统用户可以访问或
操作
未授权的数据和功能。包括水平
越权
和垂直
越权
。
蜜罐类产品定位
2021年要过去了,在此记录下从2019年到2021年对蜜罐的理解,此内容仅为个人感受,不喜勿喷! 团队从2019年才开始尝试部署蜜罐,开始的在测试机中装着玩,到真实抓到黑客,最后到现在IDC和内网蜜罐覆盖率超过10%,有一些个人感悟。 【结论】 大型公司使用蜜罐的最佳
场景
是:情报生产、辅助进行威胁感知、通过定制蜜罐抓取针对自身的攻击; 中型公司使用蜜罐的最佳
场景
是:数据窃取、内网检测; 小型公司使用蜜罐的最佳
场景
是当轻量级、零维护、准确威胁检测使用; 【感受】 >对于小型公司
安全测试实践:京东万家APP
越权
逻辑漏洞挖掘
逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险,本文从安全测试的角度,以
越权
逻辑漏洞为例,介绍逻辑漏洞的挖掘方法和实践过程。
【每天学习一点新知识】常见逻辑漏洞
逻辑漏洞是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,确权访问,密码找回,交易支付金额等功能处。 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或者代码问题或固有不足,
操作
上并不影响程序的允许,在逻辑上是顺利执行的。
这种
漏洞一般防护手段或设备无法阻止,因为走的是合法流量也没有防御标准。逻辑漏洞梳理与总结 - FreeBuf网络安全行业门户注册:短信轰炸验证码安全问题密码爆破邮箱轰炸。
云安全
4,451
社区成员
4,381
社区内容
发帖
与我相关
我的任务
云安全
云计算 云安全相关讨论
复制链接
扫一扫
分享
社区描述
云计算 云安全相关讨论
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章