业务逻辑篇水平越权垂直越权未授权访问检测插件SRC 项目
# 逻辑越权 - 检测原理 - 水平 & 垂直 & 未授权
1 、水平越权:同级别的用户之间权限的跨越
2 、垂直越权:低级别用户到高级别用户权限的跨越
3 、未授权访问:通过无级别用户能访问到需验证应用
PHPStudy + Metinfo4.0 + 会员后台中心
# 逻辑越权 - 检测项目 -BURP 插件 & 对比项目
1 、检测插件:
https://github.com/smxiazi/xia_Yue
https://github.com/VVeakee/auth-analyzer-plus
2 、检测项目:
https://github.com/ztosec/secscan-authcheck
https://github.com/y1nglamore/IDOR_detect_tool
实战:找到当前用户相关的参数名,添加返回包里面的参数名参数值去提交,参数值请求
数据加密: JS 中找逆向算法,还原算法重新修改发包测试,请求包带 token :直接复用
和删除测试。