| |
|
<![CDATA[<menu id="guoca"></menu>]]>|
|
<![CDATA[<xmp id="guoca">]]>|
|
|
| |
|
|
|
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
|
|
| |
| |
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
水平越權和垂直越權有什么區別
點贊0
收藏0
發現錯別字
舉報
7個月前 提問
亚洲 欧美 自拍 唯美 另类
水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞,垂直越權是一種“基于URL的訪問控制”設計缺陷引起的漏洞,本質上是所利用的漏洞不同獲得的權限不同。垂直越權是一種“基于URL的訪問控制”設計缺陷引起的漏洞,又叫做權限提升攻擊,而水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞,兩者在本質上完全不同。
兩者具體如下:
水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞。由于服務器端在接收到請求數據進行操作時沒有判斷數據的所屬人/所屬部門而導致的越權數據訪問漏洞。假設用戶x和用戶y屬于同一角色,擁有相同的權限等級,他們能獲取自己的私有數據(數據x和數據y),但如果系統只驗證了能訪問數據的角色,而沒有對數據做細分或者校驗,導致用戶x能訪問到用戶y的數據(數據y),那么用戶x訪問數據y的這種行為就叫做水平越權訪問。
垂直越權是一種“基于URL的訪問控制”設計缺陷引起的漏洞,又叫做權限提升攻擊。由于后臺應用沒有做權限控制,或僅僅在菜單、按鈕上做了權限控制,導致惡意用戶只要猜測其他管理頁面的URL或者敏感的參數信息,就可以訪問或控制其他角色擁有的數據或頁面,達到權限提升的目的。
回答所涉及的環境:聯想天逸510S、Windows 10。