0x01 前言 越权漏洞相较于SQLInject、XSS、SSRF等漏洞,最大的不同点在于该漏洞和权限的架构设计具有强相关性,而权限的架构设计又强依赖业务属性,这就导致了几乎每个系统的权限架构都各不相同,自动化检测的难度非常之大,误报率非常高;内部的检测准确率无法有效提升,越权漏洞数量就很难有效的下降 关于越权漏洞的挖掘,从原理上来看并不复杂,甚至可以说是简单,最大的难点在于信息收集能力、细心程度、对业务的理解度,这个其实也没有什么好谈的 关于批量/自动化越权检测的文章在网路上寥寥无几,开源的工具更是少的可怜(某些大佬手里有牛逼工具除外),今天想要说的是在甲方,特别是应用数量三位数、

从小你们就在自由探索自己的兴趣;很多人在童年就进入了不惑之年,不惑于自己喜欢什么,不喜欢什么。 昨天《后浪》刷屏了朋友圈,笔者也转发了,被何冰老师富有感染力的声音和部分走心的文案戳中 自由学习一门语言,学习一门手艺,欣赏一部电影,去遥远的地方旅行。 从小你们就在自由探索自己的兴趣;很多人在童年就进入了不惑之年,不惑于自己喜欢什么,不喜欢什么。 不过在看过之后回想,笔者认为这只是我们生活的一个剪影,并不能代表我们这一代人。这里不讨论宣传片里的UP主们,在上一篇中有提到,这是我们该去拥抱的新事物。 今天是青年节,不同于中秋节、端午节、情人节,这是一个精神的节日。 我们要的不应该只

当我们做出选择改变时,不知道将会得到什么,但很清楚将会失去什么。 回想一下,是不是或多或少会有一些类似的场景,当出现一个新的偶像明星时,特别是帅的或漂亮的,会迅速的下一个判断,觉得没有真才实学全靠包装,觉得他们的粉丝都是脑残;在玩LOL或王者时,被对面强势英雄干的很惨,是不是每次先把自己觉得打不过的ban掉,却很少去主动练习这类强势英雄;当一项新技术、新设计、新政策出现时,网上和我们身边,往往会充斥着吐槽、抵制的声音,往往要很长一段时间才会变成真香,例如当年汽车诞生时的《红旗法案》。 上述的这类例子数不胜数,笔者有时候会觉得自己是不是没有跟上这个时代的节奏。所以将这种下意识的心理活