当前位置: 首页 > news >正文

pikachu通关教程- over permission

news 2025/6/7 1:07:21

如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。

水平越权

当我们以Lucy账号登录,查询个人信息时,会有一个url,他是以get方式提交,我们把user改成kobe,会出现kobe的信息。

http://127.0.0.1:1000/pikachu/vul/overpermission/op1/op1_mem.php?username=kobe&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF

垂直越权

关于这道题,要么获取对应的数据包,或者这题其实可以更改php文件,改成管理员的p2_admin_edit.php,这样子就有权限了。

http://www.xdnf.cn/news/761797.html

相关文章:

  • 深入理解 C++11 中的 std::move —— 移动语义详解(小白友好版)
  • 数字创新智慧园区建设及运维方案
  • lidar和imu的标定(三)平面约束的方法
  • 51单片机基础部分——LED
  • 船舶二阶非线性响应方程的EKF与UKF参数辨识
  • mybatis02
  • Python数学可视化——坐标系与变换
  • 2025年家用电梯品牌推荐榜单:聚焦品质与创新,探寻理想垂直出行方案
  • 深度学习入门Day1--Python基础
  • 猜数字游戏
  • WIN11 Docker Desktop 安装问题解决
  • nc、telnet、curl 命令对比
  • 战略4.3 -战略控制(预算\业绩衡量指标\数字化技术)
  • Redis缓存落地总结
  • vscode 代理模式(agent mode),简单尝试一下。
  • Linux环境基础开发工具->make/Makefile
  • VScode编译调试debug,gpu的cuda程序,Nsight
  • Java 老矣,尚能饭否?
  • 车辆检测算法在爆炸事故应急响应中的优化路径
  • Vue项目中安装插件的命令及区别
  • 22. Generate Parentheses
  • 盲盒经济2.0:数字藏品开箱是否适用赌博法规
  • 3C All-in-One Toolbox:安卓手机的全能维护专家
  • BLIP-2
  • 【C++】vector的模拟实现
  • 牛客2025年儿童节比赛
  • OpenLayers 地图标注之图文标注
  • 【第四十七周】HippoRAG 2 复现与分析(一):环境部署与代码分析
  • linux文件管理(补充)
  • 纯汇编自制操作系统(四、应用程序等的实现)