weixin_53627195的博客

在上次行动之后，过了两周，某市也进行了hw行动，驻波由于需要负责客户的原因，就利用了空闲时间挖了挖。

水平越权是指攻击者通过利用系统中的漏洞，获得与其当前权限级别相同或相似的另一个用户账户的权限。这种攻击方式不同于传统的垂直越权（Vertical Privilege Escalation），后者涉及获取更高权限级别的访问。水平越权攻击通常针对同一权限级别的用户，使得攻击更为隐蔽。通俗来讲就是，用户A通过修改特定内容可以看到、修改用户B的信息。水平越权是一个不容忽视的网络安全威胁，但通过采取适当的预防措施，企业可以显著降低此类风险。

任意用户注册分为可覆盖任意用户注册与不可覆盖任意用户注册，可覆盖任意用户注册危害性要大于不可覆盖任意用户注册。可覆盖任意用户注册：测试人员可以用数据库中已经注册过的手机号再次成功注册账号，将数据库中原有的账号信息承接到新账号中，实现覆盖，类似于盗号操作。不可覆盖任意用户注册：测试人员利用技术手段，使用数据库中未被注册的手机号实现注册，使他人想要注册时不能注册。