目录
2.可以直接更改参数值查看其他用户个人信息(造成了用户信息的泄露)
一、水平越权
水平越权是同级别之间的越权
1.进行登录
2.可以直接更改参数值查看其他用户个人信息(造成了用户信息的泄露)
3.也可以用burp抓包修改(都一样)
二、垂直越权
垂直越权是有普通用户向更高级别越权
垂直越权需要用到admin添加用户的数据包
1.登录admin/123456抓取添加用户数据包
2.登录pikachu,找到cookie值
3.在repeater模块中,替换cookie值
4.在pikachu中查看所添加的用户
