Java电商项目面试--横向越权和纵向越权

最新推荐文章于 2025-02-28 08:58:47 发布
最新推荐文章于 2025-02-28 08:58:47 发布
阅读量2.8k 收藏 11
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Java笔试面试 Java笔试面试 文章标签: java面试 越权 电商项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41835916/article/details/81410053
本文探讨了电商项目中常见的安全问题——横向越权和纵向越权,详细解释了两者的概念,并提供了Java环境下防止这两种越权的解决方案。在横向越权方面,通过缓存机制确保用户只能操作自己的资源;而在纵向越权中,通过角色权限设置限制不同级别用户的操作范围。了解更多Java面试相关知识,请查看完整的面试目录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

面试题:什么是横向越权和纵向越权、如何解决?

1、什么是横向越权和纵向越权:
横向越权:攻击者尝试访问与他拥有相同权限的用户的资源
纵向越权:低级别攻击者尝试访问高级别用户的资源
2、如何解决:
横向越权场景:
对于横向越权,横向越权可能出现的场景有:
1、在用户忘记密码重置密码时,回答对了问题进入密码重置阶段时,如果知道其他用户的用户名,很容易改变此用户的密码,然后就可以进行越权访问了。
2、在删除收货地址的时候,如果用户登录了,输入的是其他用户的收货地址id,则把其他的用户的收货地址删了,项目中通过用户id和收货地址id两项才能删除,防止横向越权
代码如下:

public ServerResponse<String> del(Integer userId,Integer shippingId){
   int resultCount = shippingMapper.deleteByShippingIdUserId(userId,shippingId);
   if(resultCount > 0)
       <
最低0.47元/天 解锁文章

200万优质内容无限畅学
36-2 shiro越权 - shiro越权介绍
weixin_43263566的博客
04-15 360
Apache Shiro 是一个强大且易用的 Java 安全框架,负责执行身份验证、授权、密码会话管理。无论是最小的移动应用程序还是最大的网络企业应用程序,都可以通过使用 Shiro 的 API 快速、轻松地实现安全功能。
【Web安全】越权操作——横向越权纵向越权
weixin_34249678的博客
08-10 1021
横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源 横向越权的情况: 用户登录模块中,假设用户在忘记密码(未登录)时,想要重置密码。假设接口设计为传参只用传用户名新的密码。 localhost:8080/user/fo...
安全测试-横纵越权
qq_42008891的博客
03-08 1423
横纵越权概念介绍,横纵越权测试用例设计,如何使用appscan测试横纵越权
横向越权纵向越权
rellater的博客
07-23 791
解决横向越权的办法就是参数id等使用随机数或复杂度高一点的值,不要用自增的。解决纵向越权就使用基于角色的访问控制(RBAC),角色-菜单-用户。纵向越权:是不同角色的用户,例如用户A去访问管理员B的资源。横向越权:是同一角色的用户A去访问用户B的资源。
横向越权纵向越权
TiankkTT的博客
10-23 5124
其原理是由于Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜测其他管理页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。对于一个请求,或者说一个接口,经常使用url拼接的方式去传递参数,如果攻击者在浏览的时候提前知悉了url的参数以及拼接顺序,那么他就可以在任意账号去随意执行你的接口。越权又分为横向越权纵向越权。即预先定义不同的权限角色,为每个角色分配不同的权限,每个用户都属于特定的角色,横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源。
横向越权纵向越权(水平越权、垂直越权)
叶子常常随风而落,分享博主日常学习和使用的一些技术
04-08 4362
越权:顾名思义,就是获得了本不应该有的权限。 我们都喜欢创造一些复杂的词汇,而实际上这些词就是一个代词,根本没有那么复杂。 越权漏洞往往是基于业务逻辑的漏洞,这样的漏洞很难被WAF保护。 越权的分类 按照方向可以分为横向越权纵向越权横向越权 获取同级别权限的用户的资源。 举个例子: 同事A获取了同事B下的客户信息。 纵向越权 获取更高级别权限用户的资源。 举个例子:同事C获取了领导D下的秘密信息。 越权漏洞举例 可以去乌云上看,里面有很多漏洞,可供学习参考。 1、合理的情况是用户只能查看本用户下的
安全测试之三:横向越权纵向越权
jsl80215219的博客
02-28 956
同时,要验证在访问资源时,系统是否切实进行了权限校验,例如将用户ID与会话ID进行绑定校验。现代系统常常采用随机化ID,如UUID,或者使用加密参数、复杂的API设计,像GraphQL。横向越权指的是处于同一权限等级的用户,违规访问或操作其他用户的资源。比如,用户A非法获取用户B的数据,这便是典型的横向越权场景。集成的第三方组件,如CMS、中间件,可能存在默认的高权限接口。重点关注敏感操作,如删除、导出、配置修改等。通过系统化的测试覆盖对业务逻辑的深度分析,可以有效发现并修复越权漏洞,提升系统的安全性。
Java电商项目面试--用户模块
小刺猬喜歡獨角獸
08-22 9191
面试:用户模块技术要点: 1、横向越权纵向越权 2、MD5明文加密、guava缓存 3、高复用服务响应对象的设计思想封装 一、用户模块功能 用户模块包含功能如下: 1、登录功能 2、用户名校验 3、注册功能 4、忘记密码 5、提交问题答案 6、重置密码 7、获取用户信息 8、更新用户信息 9、退出登录 二、高复用服务响应对象的设计思想封装 ...
Java电商项目--用户模块
juaner1993的博客
09-22 5479
用户模块技术要点: 1、横向越权纵向越权 2、Token 3、缓存(Guava Cache) 4、高复用服务器响应对象的设计思想抽象封装 5、Stringbyte[]之间的转化(MD5加密) 6、session的详细解释 7、门户_用户接口 8、后台_用户接口 用户模块功能: 1.登录 2.用户名校验 3.注册 4.忘记密码 5.提交问题答案 6.重置密码...
什么是横向越权纵向越权
最新发布
06-19
我们正在讨论横向越权纵向越权的定义及其区别。根据引用[1][2][3][4],我们可以总结如下:横向越权(HorizontalPrivilegeEscalation)指的是攻击者尝试访问与他拥有相同权限级别(即同一角色)的其他用户的资源或...
渗透越权测试
09-22
越权渗透测试,学习视频。
【web安全】横向越权纵向越权
mrk_java的博客
09-04 1108
我们只要记住,前端什么样,后端就什么样。前端某个字段输入36只能是字母数据,后端也要相同的校验。前端不能输入 or (1 = 1),,后端也不能。前端学生看不到审批,后端也不能操作。这样基本上会解决大部分的安全问题。
横向越权纵向越权区别
My_Way666的博客
10-15 3276
横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源 如何防止横向越权漏洞: 可通过建立用户可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的。 对请求中的关键参数进行间接映射,避免使用原始关键参数名,比如使用索引1代替id值123等 如何防止纵向越权漏洞: 建议使用基于角色访问控制机制来防止纵向越权攻击,即预先定义不同的权限角色,为每个角色分配不同的权限,每个用户都属于特定的角色,
找出安全漏洞:了解横向越权测试
人生不怕起点低,就怕没追求
09-20 743
身为一个测试人员,在新需求有新增接口的情况下,思考的不仅是新增功能的实现,还有接口性能安全,如果提前测试,就可以减少更多线上问题反馈。
浅谈横向越权纵向越权
m0_38105115的博客
02-25 4549
Java web中的越权问题 越权分为横向越权纵向越权 横向越权指两个具有相同权限的用户A用户B,他们属于同一角色,拥有相同的权限等级,他们都能获取自己的私有数据,如果只对权限角色做了处理,对数据并没有进行细化的处理校验,导致A可以访问B的数据或者B可以访问A的数据,这种情况就属于水平横向越权 纵向越权是指一个低级别的用户可以访问高级别的用户的资源 处理横向越权:可以使用token...
JAVA代码审计-纵向越权漏洞分析
shelter1234567的博客
10-24 822
本次介绍 纵向越权漏洞....
水平、垂直权限问题(横向越权纵向越权
迷路剑客个人博客
07-23 4015
水平、垂直权限问题(横向越权纵向越权) 转载声明 本文大量内容系转载自以下文章,有删改,并参考其他文档资料加入了一些内容: 水平、垂直权限问题(横向越权纵向越权) 作者:碎羽love星谊 1 横向越权 1.1 基本概念 横向越权指的是攻击者尝试访问与他拥有相同权限级别的用户的资源 1.2 如何防止横向越权漏洞 可通过建立用户可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的。 对请求中的关键参数进行间接映射,避免使用原始关键参数名,比如使用索引1代替id值1
java项目横向越权,【Web安全】越权操作——横向越权纵向越权
weixin_39717026的博客
03-16 764
横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源纵向越权纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源横向越权的情况:用户登录模块中,假设用户在忘记密码(未登录)时,想要重置密码。假设接口设计为传参只用传用户名新的密码。localhost:8080/user/forget_reset_password.do?username=aaa&passwordNew=x...
什么是横向扩展、纵向扩展
热门推荐
Jay的博客
07-28 1万+
你有一台API服务器,每天几百万次请求,吃不消了。现在要提升性能: 横向扩展:多增加几台API服务器,一起服务。 纵向扩展:把API服务器换成性能更好的机器。 横向扩展 也叫 水平扩展,用更多的节点支撑更大量的请求。 如成千上万的蚂蚁完成一项搬运工作 纵向扩展 又叫 垂直扩展,扩展一个点的能力支撑更大的请求。如利用1个人的能力,如蜘蛛侠逼停火车 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北极星小王子

你的鼓励是我创作的最大动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值