当前位置: 首页 > wzjs >正文

企业做网站哪个最好sem优化技巧

wzjs 2025/7/29 17:16:09
企业做网站哪个最好,sem优化技巧,php动态网站开发 模版,php可以做网站吗本质是信任了不可信的客户端输入。防御核心: 永不信任客户端提交的权限参数(如 user_id, role)。强制服务端校验用户身份与操作权限。定期审计权限模型,避免业务迭代引入新漏洞。 水平越权 1,按照网站的提示要求登录 进…

本质是信任了不可信的客户端输入。防御核心:

  1. 永不信任客户端提交的权限参数(如 user_id, role)。
  2. 强制服务端校验用户身份与操作权限。
  3. 定期审计权限模型,避免业务迭代引入新漏洞。

 

水平越权

1,按照网站的提示要求登录

进入到用户后台点击查看个人信息

进入到这个网站

http://192.168.23.154/06/vul/overpermission/op1/op1_mem.php?username=lucy&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF

发现是url传值查看用户信息,尝试修改成为其他用户

http://192.168.23.154/06/vul/overpermission/op1/op1_mem.php?username=kobe&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF

篡改成功,存在水平越权漏洞

 

垂直越权

1,根据提示有普通用户和超级用户

使用普通用户的账户密码登录,模拟垂直越权

普通用户只有查看权限,超级用户admin则可以增删改查

 

2,删除一个用户,记录URL。并且尝试使用burpsuite抓取cookie 7ipoq13r16f170hokj8dshvkm6

http://192.168.23.154/06/vul/overpermission/op2/op2_admin.php?id=1

然后再抓取添加用户的请求包

username=12345&password=123456&sex=1&phonenum=1&email=1&address=&submit=%E5%88%9B%E5%BB%BA

 

 

http://www.dtcms.com/wzjs/141365.html

相关文章:

  • 企业网站建设的思路游戏推广赚佣金
  • 网站开发公司分析厦门seo网络推广
  • vs2017做网站上海网站seo快速排名
  • 网络服务通知标题优化怎么做
  • 装饰网站模版怎样把个人介绍放到百度
  • 在西部数码做的企业网站不能与阿里巴巴网站相连接怎样做网站推广啊
  • 微网站需要什么百度我的订单
  • 网站头部优化文字怎么做国际新闻消息
  • 做网上购物网站网页制作html代码
  • 最近军事新闻正规网站优化哪个公司好
  • 做营养的网站sem是什么意思呢
  • 网站建设及外包营销策划推广公司
  • 资源库网站建设的总结怎么在百度上发布自己的信息
  • 系统之家网站怎么做seo智能优化软件
  • 改革开放40周年网站发展建设厦门网站seo哪家好
  • 怎么建立本地网站安卓优化大师官网下载
  • 南山区做网站新媒体口碑营销案例
  • 老版建设银行网站今日头条号官网
  • 无忧网站建设报价媒介平台
  • wordpress用户登录教程搜索关键词排名优化服务
  • 音乐网站开发参考文献淘宝seo搜索引擎优化
  • 国外做衣服网站石家庄百度seo排名
  • 网站备案归百度竞价托管代运营公司
  • 网站开发中怎么联系客服热门关键词
  • 廊坊模板网站建设ai智能搜索引擎
  • 小米网站的建设目的游戏推广平台代理
  • wordpress 规则什么是seo搜索
  • 赛扬e3300做网站seox
  • iframe框架做网站商业推广软文范例
  • 免费做网站哪里有企业网站建设价格