翻译自Manipulating User Permission Identifier 漏洞描述 此攻击重点在于操纵用户权限标识符，以提升其对应用程序的权限，导致未经授权的访问，欺诈性交易和应用程序中断。用户权限标识符通常与会话ID，本地Cookie，隐藏字段等相关联。为了执行本攻击，必须要知道应用程序是如何管理用户权限辨识符，存储和管理信息的位置/方式/条目（客户端，服务器端或两者）以及使用哪些数据作为标识符的一部分。基于此，攻击者可以使用会话标识符的新值伪造他的请求，并在应用程序中提升他的权限。 攻击示例 假设应…