BTS测试实验室 --- 安全配置错误和丢失的功能级别访问控制

0x01 什么是“安全配置错误”漏洞?

以下信息来自于OWASP2013
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

安全配置错误 — 安装页未删除

题目正是对应这种情况
在这里插入图片描述
系统服务员在安装网站服务之后没有删除安装目录,导致攻击者可以重新安装该web服务网站。

0x02 什么是“丢失的功能级别访问控制”

以下信息来自于OWASP2013
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

回到题目,以管理员的身份登录
在这里插入图片描述
进入管理员页面,点击管理用户
在这里插入图片描述
选中其中一个用户,如xxw,我们删除该用户,抓包,
在这里插入图片描述
user的值改为admin,可以看到页面显示中已经没有了用户xxw
在这里插入图片描述
在数据库中查看执行后的结果,发现,管理员用户admin已经不存在了
在这里插入图片描述
以上就是“丢失的功能级别访问控制”漏洞的一种最简单的利用方式。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值