在查询栏输入tamper,进行组件搜索

  安装组件,重启firefox即可

  使用FireFox+tamper进行水平权限测试

  以修改联系信息为例,我们打开一个网站的联系信息修改页面,使用用户名cuanci进行登录

  打开tamper插件

  Tamper界面如图所示

  我们选择修改公司信息

  出现修改所属公司信息页面

  Tamper或截获所有的请求,并进行分析

  在tamper的左下框中,可以看到Cookie字段,

  使用右键弹出菜单Copy,拷贝Cookie内容

  将Cookie值保存到文本文件中,作为之后更换cookie使用

  接下来退出登录,换另一个帐号linjunlee登入

  同样打开修改所属公司信息页面

  再使用Tamper插件的Start Tamper

  修改公司信息

  提交的时候,tamper会截获要提交的数据报

  选择tamper,修改截获的内容,在Tamper界面的左边有Cookie栏

  我们替换掉除了CsrfToken以外的cookie字段

  选择确定后,tamper会提交数据

  结果我们看到,cuanci用户的信息被修改

  关闭浏览器,解除tamper。我们再以linjunlee登录验证,发现linjunlee用户信息并没有被改变,这证明该功能没有水平权限漏洞。如果linjunlee用户的信息被修改,那么该功能点存在水平权限漏洞。