什么是AC Bugs?
實驗室
Vertical privilege escalation
僅通過
隱藏目錄/判斷參數來權限控制是不安全的(爆破url/爬蟲/robots.txt/Fuzz/jsfinder)
Unprotected functionality
- 訪問robots.txt
- 得到隱藏目錄,訪問目錄 ,刪除用戶
Unprotected admin functionality with unpredictable URL
- 查看源代碼,發現隱藏目錄
- 訪問刪除
Parameter-based access control methods
參數控制權限
https://insecure-website.com/login/home.jsp?admin=true
https://insecure-website.com/login/home.jsp?role=1
Horizontal access controls
橫向到垂直權限升級
不安全的直接對象引用(IDOR)
多步驟流程中的訪問控制漏洞
基于引用者的訪問控制
基于位置的訪問控制
防御
擴展
Paper
access-control
security-models
+01背包,藍橋云課 搬磚)
 FQTSS協議介紹)
】)
