加载中...

072-Web攻防-业务逻辑&越权未授权&插件&项目等

发表于2025-09-16|更新于2025-09-16|小迪学习笔记

|浏览量:

072-Web攻防-业务逻辑&越权未授权&插件&项目等

知识点：

1、逻辑越权-检测原理-水平&垂直&未授权

2、逻辑越权-检测项目-BURP插件&对比项目

3、SRC挖掘-实战越权及未授权挖掘分享案例

Web权限图：

逻辑越权-检测原理-水平&垂直&未授权

靶场环境：PHPStudy + Metinfo4.0 + 会员后台中心

1、水平越权：同级别的用户之间权限的跨越

2、垂直越权：低级别用户到高级别用户权限的跨越

3、未授权访问：通过无级别用户能访问到需验证应用

在首页底部点击会员中心，即可看到会员登录界面，点击注册

水平越权：同级别的用户之间权限的跨越

对test1账号进行登录，然后修改基本信息
对test1修改账号操作进行抓包，对里面数据包进行修改
这里进行水平越权测试，test1和test2属于同一级别，我们这里把要修改的test1账户改为test2查看是否可以修改

垂直越权：低级别用户到高级别用户权限的跨越

网站存在一个admin登录页面，我们这依旧是使用普通用户身份尝试修改管理员权限

修改test1的基本信息进行抓包测试
我们将这里要进行修改的用户名修改为admin，发包
去数据库里面查看成功修改

未授权访问：无登录用户就能直接访问到需验证应用

使用test1的账号，对基本信息进行修改抓包。
这里将test1的cookie进行删除，将账号换admin并且修改邮箱

逻辑越权-检测项目-BURP插件&对比项目

相关工具：

1、检测插件：
https://github.com/smxiazi/xia_Yue
https://github.com/VVeakee/auth-analyzer-plus
2、检测项目：
https://github.com/ztosec/secscan-authcheck
https://github.com/y1nglamore/IDOR_detect_tool

实战：找到当前用户相关的参数名，添加返回包里面的参数名参数值去提交，参数值请求数据加密：JS中找逆向算法，还原算法重新修改发包测试，请求包带token：直接复用和删除测试。

批量测试可以使用工具，真实情况下如果要测试的点很少，推荐手工进行测试。因为这些插件都需要配置，需要不少时间，有这个时间可能手工都测完了

Xia_Yue

项目地址：https://github.com/smxiazi/xia_Yue

这个工具只能测试垂直越权以及未授权访问
点击启动插件后访问一些关键功能，就能抓取数据包，吧低权限包和未授权包进行对比，如果低权限包和未授权包长度相同就说明可能存在未授权访问。

auth_analyzer

项目地址：https://github.com/VVeakee/auth-analyzer-plus

该插件使用参考文章：https://www.cnblogs.com/ychun/p/17836941.html

SRC越权未授权挖掘案例

案例1：垂直越权-小程序

游客身份进入后未授权获取系统内部信息

案例2：水平越权

用户身份ID编号遍历导致信息泄漏

案例3：未授权访问

测试账号直接访问系统配置页面

实战:
关键:找到当前用户相关的参数名
参数值请求数据加密:

JS中找逆向算法，还原算法重新修改发包测试
请求包带令牌:直接复用和删除测试

文章作者: 0xMouise

文章链接: https://0xmouise.github.io/2025/09/16/072-Web%E6%94%BB%E9%98%B2-%E4%B8%9A%E5%8A%A1%E9%80%BB%E8%BE%91&%E8%B6%8A%E6%9D%83%E6%9C%AA%E6%8E%88%E6%9D%83&%E6%8F%92%E4%BB%B6&%E9%A1%B9%E7%9B%AE%E7%AD%89/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 0xMouise！

渗透测试 Web安全网络安全

相关推荐

015-信息打点-端口扫描&WAF&蜜罐识别项目等

015-信息打点-端口扫描&WAF&蜜罐识别项目等本节内容 1、端口扫描-应用&协议2、WAF识别-分类&识别3、蜜罐识别-分类&识别解决：1、Web服务器&应用服务器差异性2、WAF防火墙&安全防护&识别技术3、蜜罐平台&安全防护&识别技术一.端口扫描-应用&协议 Nmap：配置中：Quick scan plus是快速扫描，intense scan all TCP ports 是全部端口扫描端口扫描的意义：通过扫描端口是否开放来确定主机上面安装过什么应用，网站应用数据库应用等…. 在进行端口扫描的时候应该考虑：1.防火墙 2.内网环境防火墙：对端口进行过滤但不代表端口没有开启只是没有对外服务内网环境可能出现的情况：明明数据库端口是开的,网站也能正常打开但是你对目标进行端口扫描发现数据库端口没有开放（排除防火墙问题）二.WAF防火墙&安全防护&识别技术1、WAF解释：Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Applic...

014-信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目

第14天：信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目一.本节知识点1、JS前端架构-识别&分析2、JS前端架构-开发框架分析3、JS前端架构-打包器分析4、JS前端架构-提取&FUZZ解决：1、如何从表现中的JS提取价值信息2、如何从地址中FUZZ提取未知的JS文件3、如何从JS开放框架WebPack进行测试 1.什么是cms CMS（意思为“网站内容管理系统”，用来管理网站后台，编辑网站前台。）Discuz、WordPress、Ecshop、蝉知等前端技术；HTML5、jquery、bootstrap、Vue等开发语言；PHP、JAVA、Ruby、Python、C#，JS等Web服务器；Apache、Nginx、IIS、lighttpd，Apache等应用服务器：；Tomcat、Jboss、Weblogic、Websphere等数据库类型：；Mysql、SqlServer、Oracle、Redis、MongoDB等操作系统信息；Linux、windows等应用服务信息：；FTP、SSH...

016-信息打点-CDN绕过&资源URL&工具项目等

016-信息打点-CDN绕过&资源URL&工具项目等一.相关链接&工具站&项目工具超级Ping：http://www.17ce.com/ 超级Ping：https://ping.chinaz.com/ 接口查询：https://get-site-ip.com/ 接口查询：https://fofa.info/extensions/source 国外请求：https://tools.ipip.net/cdn.php 国外请求：https://boce.aliyun.com/detect/ IP社区库：https://www.cz88.net/geo-public 全网扫描：https://github.com/Tai7sy/fuckcdn 全网扫描：https://github.com/boy-hack/w8fuckcdn 全网扫描：https://github.com/Pluto-123/Bypass_cdn 大佬文章-CDN绕过 https://mp.weixin.qq.com/s/zxEH-HMqKukmq7qXfrdnQQ 二.CND前置知识...

017-信息打点-框架组件&CMS工具&其他等

017-信息打点-框架组件&CMS工具&其他等本节课主要知识点 1.CMS识别到后期漏洞利用和代码审计2.开发框架识别到后期漏洞利用和代码审计3.开发组件识别到后期漏洞利用和代码审计一、CMS指纹识别-不出网程序识别1.概念CMS指纹识别一般能识别到的都是以PHP语言开发的网页为主，其他语言开发的网页识别难度大识别的意义就是向着对应目标使用对应的工具进行攻击 1.后端：CMS：一般PHP开发居多源码程序（利用源码程序名去搜漏洞情况，源码去下载进行后期的代码审计） 2.前端：JS框架（爬取更多的JS从里面筛选URL或敏感泄漏KEY等）也是可以通过对JS代码逻辑进行代码审计 3.组件：组件：第三方的功能模块（日志记录，数据监控，数据转换等） java居多，常见有过安全漏洞组件（shiro solr log4j sprintboot等） 4.框架：框架：简单代码的一个整合库，如果使用框架就只需要学习使用框架调用即可如：文件上传功能是需要很多代码来实现的，框架把这个代码进行封封装，调用即可影响：如果采用框架开发，代码的安全性是取决于框架的过滤机制 p...

018-信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

第18天：信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试本节内容 1、Web&备案信息&单位名称中发现APP2、APP资产静态提取&动态抓包&动态调试解决：1、如何获取到目标APP信息2、如何从APP信息中提取资产一、如何获取到目标APP信息1.名称获取app信息(爱企查、小蓝本、七麦、点点)1.爱企查知识产权https://aiqicha.baidu.com/ 2.七麦、点点查名称[七麦点点查 2、URL网站备案查APP关于我们 (psbc-ubank.com)（中邮邮惠万家） 1、查备案信息在搜 2、网站上有APP下载 3、市场直接搜单位名称二、如何从app中收集资产通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息。资产信息-IP 域名网站 -转到对应Web测试接口测试服务测试泄露信息-配置key 资源文件 - key（osskey利用，邮件配置等）代码信息-java代码安全问题- 逆向相关 1、抓包-动态表现优...

019-信息打点-小程序组手&开发工具&依赖等

019-信息打点-小程序组手&开发工具&依赖等知识点 1、Web&备案信息&单位名称中发现小程序2、小程序资产静态提取&动态抓包&动态调试解决：1、如何获取到目标小程序信息2、如何从小程序中提取资产信息一.➢小程序获取-各大平台&关键字搜索微信百度支付宝抖音头条二.小程序主题结构1.主体结构小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。一个小程序主体部分(即app)由三个文件组成，必须放在项目的根目录，如下：文件必需作用 app.js 是小程序逻辑 app.json 是小程序公共配置 app.wxss 否小程序公共样式表 2.一个小程序页面由四个文件组成，分别是: xxx.js 页面逻辑 xxx.json 页面配置 xxx.wxml 页面结构 xxx.wxss 页面样式 3.项目整体目录结构 pages 页面文件夹 index 首页 logs 日志 utils util 工具类(mina框架自动生成,你也可以建立一个：...

数据加载中