0x01 什么是“安全配置错误”漏洞?
以下信息来自于OWASP2013
安全配置错误 — 安装页未删除
题目正是对应这种情况
系统服务员在安装网站服务之后没有删除安装目录,导致攻击者可以重新安装该web服务网站。
0x02 什么是“丢失的功能级别访问控制”
以下信息来自于OWASP2013
回到题目,以管理员的身份登录
进入管理员页面,点击管理用户
选中其中一个用户,如xxw
,我们删除该用户,抓包,
将user
的值改为admin
,可以看到页面显示中已经没有了用户xxw
在数据库中查看执行后的结果,发现,管理员用户admin
已经不存在了
以上就是“丢失的功能级别访问控制”漏洞的一种最简单的利用方式。