面试题:什么是横向越权和纵向越权、如何解决?
1、什么是横向越权和纵向越权:
横向越权:攻击者尝试访问与他拥有相同权限的用户的资源
纵向越权:低级别攻击者尝试访问高级别用户的资源
2、如何解决:
横向越权场景:
对于横向越权,横向越权可能出现的场景有:
1、在用户忘记密码重置密码时,回答对了问题进入密码重置阶段时,如果知道其他用户的用户名,很容易改变此用户的密码,然后就可以进行越权访问了。
2、在删除收货地址的时候,如果用户登录了,输入的是其他用户的收货地址id,则把其他的用户的收货地址删了,项目中通过用户id和收货地址id两项才能删除,防止横向越权
代码如下:
public ServerResponse<String> del(Integer userId,Integer shippingId){
int resultCount = shippingMapper.deleteByShippingIdUserId(userId,shippingId);
if(resultCount > 0)
<