pikachu靶场水平越权漏洞分析

pikachu靶场水平越权漏洞分析

1：打开pikachu靶场，可以看到该靶场对越权漏洞的概述

2：选择水平越权漏洞模块开始进行漏洞分析

根据该模块分析，有一个登录用户名和密码的界面，点击提示后会发现已经有三个账号已经完成注册了，分别告诉了你用户名和密码，你可以去进行登录

3：我们先登录lucy的账号看看细节

点击查看lucy账号的个人信息

可以看到URL处也有许多细节

通过username传参用户名

4：我们将username传参处的用户名改成kobe或者lili

可以发现转换成功

用户信息不在是lucy

而是变成了kobe

转换成lili也一样

登录成功，存在水平越权漏洞

很明显，在该靶场中，这三个用户名的密码都是一样的，直接更改用户名不用更改密码都能登录成功，没有进行任何防御，水平越权漏洞明显