IDOR + 账户接管

文章预览

扫码领资料 获网安教程 来 Track安全社区投稿~   千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 访问控制： 访问控制是对谁或什么有权执行操作或访问资源进行限制。在 Web 应用程序环境中，访问控制依赖于身份验证和会话管理： 身份验证 可确认用户确实是其所说的身份。 会话管理 识别同一用户发出了哪些后续 HTTP 请求。 访问控制 决定用户是否被允许执行他们试图执行的操作。 不安全的直接对象引用（IDOR）： 当应用程序根据用户提供的输入提供对对象的直接访问时，就会发生不安全的直接对象引用 (IDOR)。不安全的直接对象引用允许攻击者通过修改用于直接指向对象的参数值来绕过授权并直接访问资源。这是因为应用程序接受用户提供的输入并使用它来检索对象而没有执行足够的授权检查。 我访问了 APDCL 网站来支付电费。我之前已经注册过 ………………………………