前言

不知道上一篇怎么突然有冲到500浏览量，

吓到我了QQ

不管怎么样，就继续走下去，

谢谢大家订阅我XD

何谓平行越权(wmqpp)

例子：相同功能，A使用者却可以使用B使用者的。

Top 10-2017 A5-Broken Access Control

无效权限控管

来自OWASP

攻击弱点分析

权限控管未详细验证

未检查使用者是否有权限可查阅（或新增、修改、删除）该项数据

检查权限但可能因逻辑错误而造成攻击者可绕过验证

攻击手法

拦截封包

可透过浏览器开发者工具（F12）查看

点选Network即可查阅封包

封包分析

查看封包结构（如GET或POST参数内容）

可能是会员帐号、会员ID或Token等可代表会员的参数

重送封包

查看重送封包后的Response

是否可访问到非自身可查阅之内容

如果是，则进行深入攻击

如果否，则寻找其他可疑之脆弱点

修复建议

认真检视权限控管(juicefortroops)