越权访问漏洞,又可以分为平行越权访问漏洞与垂直越权访问漏洞两类。
平行越权访问漏洞,指的是权限平级的两个用户之间的越权访问。
比如,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候进行一个判断,判断所需要操作的信息是否属于对应的用户,因此,导致用户A可以操作其他人的信息。
垂直越权访问漏洞,指的是权限不等的两个用户之间的越权访问。
一般都是,低权限的用户可以直接访问高权限的用户的信息。
比如,在论坛中,你是一个普通用户,有一天,你通过burpsuite抓包修改了自己的用户ID为管理员的用户ID,一不小心,成功登陆了管理员的账号。
此时,你就相当于管理员了。
对于此类型的漏洞,我提供以下几点安全建议:
1、 用户登录之后,将用户的个人信息存入session中
2、 当后续程序中出现增删改查语句的时候,通过session来唯一确定权限
3、 用户退出之后,记得清理session,设置cookie等
来源:https://www.cnblogs.com/windclouds/p/5413254.html