0x01 什麼是“安全配置錯誤”漏洞?
以下信息來自於OWASP2013
安全配置錯誤 — 安裝頁未刪除
題目正是對應這種情況
系統服務員在安裝網站服務之後沒有刪除安裝目錄,導致攻擊者可以重新安裝該web服務網站。
0x02 什麼是“丟失的功能級別訪問控制”
以下信息來自於OWASP2013
回到題目,以管理員的身份登錄
進入管理員頁面,點擊管理用戶
選中其中一個用戶,如xxw
,我們刪除該用戶,抓包,
將user
的值改爲admin
,可以看到頁面顯示中已經沒有了用戶xxw
在數據庫中查看執行後的結果,發現,管理員用戶admin
已經不存在了
以上就是“丟失的功能級別訪問控制”漏洞的一種最簡單的利用方式。