垂直オーバーリーチ
オフィスシステムの一般ユーザー権限がシステム権限に昇格
クライアントのブラウザ セッションと ID 情報を識別するために、サーバーはユーザー ID 情報を Cookie に保存し、保存するためにクライアントに送信します。図に示すように、攻撃者は Cookie 内の ID を管理者に変更し、サーバーをだまして管理者権限を割り当てようとし、垂直方向のエスカレーションの目的を達成します。オフィスシステムには垂直方向のオーバーリーチの脆弱性が存在し、Cookieを改変することで一般ユーザーの権限をシステム権限に直接昇格させることができます。
ステップ 1: 通常の権限を持つアカウント a02 を使用してオフィス システムにログインします。ログインに成功した後、リンク http://host/aaa/bbb/editUser.asp?iD=2 にアクセスし、権限の変更を試みます。一般のユーザーは変更権限モジュールにアクセスできないため、図に示すように、システムは NoPower ページにジャンプして、ユーザーに操作権限がないことを要求します。
ステップ 2: 図に示すように、Burp Suite を使用して Cookie の Tname パラメータを admin に変更し、サーバーにリクエストがシステム管理者によって送信されたように騙し、アカウント a02 をシステム管理者に正常にアップグレードします。
ステップ 3: 図に示すように、アクセス権を使用して、modifyuser ページを再度変更します http://host/aaa/bbb/editUser.asp?iD=2。正常にアクセスできます。