翻译自Manipulating User Permission Identifier 漏洞描述 此攻击重点在于操纵用户权限标识符,以提升其对应用程序的权限,导致未经授权的访问,欺诈性交易和应用程序中断。用户权限标识符通常与会话ID,本地Cookie,隐藏字段等相关联。为了执行本攻击,必须要知道应用程序是如何管理用户权限辨识符,存储和管理信息的位置/方式/条目(客户端,服务器端或两者)以及使用哪些数据作为标识符的一部分。基于此,攻击者可以使用会话标识符的新值伪造他的请求,并在应用程序中提升他的权限。 攻击示例 假设应…