我们继续向下进行
水平越权就是说平级权限的用户直接可以随意篡改,比如说A和B两个用户是平级关系,我们可用通过A用户改B用户的资料
我们可以看到url栏里面有这么一个东西,我们试试可不可以改成其他用户呢?
我们并没有登录lili这个账号,但是我们却可以看到他的信息,这就是水平越权
我们继续
什么是垂直越权呢?
垂直越权就是说不同级别权限的用户直接可以随意篡改,比如说A和B两个用户一个是普通管理员权限,一个是超级管理员权限,我们可用通过普通管理员权限登录或者进行超级管理员才可以拥有的权限
我们登录超级管理员账号
在登录的时候把普通用户的cookie复制出来,一会要用到
然后我们登录超管用户后添加一个用户,在添加的时候抓包并放到重放模块中
这时我们把普通用户的cookie替换超管的cookie,然后发送
我们返回页面进行查看
我们可以看到添加成功
