3.1

工具篇 Nmap.md

@@ -317,3 +317,9 @@ Nmap done: 1 IP address (1 host up) scanned in 13.48 seconds
 +   [Nmap 脚本使用总结](http://www.2cto.com/article/201406/307959.html)
 
 +   [Nmap 参考指南](https://www.gitbook.com/book/wizardforcel/nmap-man-page/details)
+
++   [Kali Linux 网络扫描秘籍 第三章 端口扫描（一）](http://www.jianshu.com/p/093b7386e1e8)
+
++   [Kali Linux 网络扫描秘籍 第三章 端口扫描（二）](http://www.jianshu.com/p/c484258dbc34)
+
++   [Kali Linux 网络扫描秘籍 第三章 端口扫描（三）](http://www.jianshu.com/p/29d97054217c)

漏洞篇 越权.md

@@ -10,6 +10,11 @@
 
 ![](http://ww2.sinaimg.cn/large/841aea59jw1fay9vzjowej20f70aggln.jpg)
 
+## 分类
+
++   水平越权：权限不变，身份改变
++   垂直越权：身份不变，权限改变
+
 ## 信息遍历
 
 ```php
@@ -24,10 +29,14 @@ else
 
 这段代码首先从 URL 参数中读取 ID，之后与现存 ID 比对，如果存在则输出 ID 和密码，不存在则报错。这里 ID 是被查询的信息，假设系统里一共就五个 ID。由于这里不存在过滤，那么我们可以不绕过任何东西来查询它们。
 
+信息遍历属于水平越权，因为用户还是普通用户，但是身份变成了其它的普通用户。当遇到带有`id=xxx`的页面时，我们要留意它，因为这里可能存在越权漏洞。我们可以手动测试，将`id`改为其他值，也可以使用 Burp 的爆破功能来测试。
+
 ## 隐藏式后台
 
 一些网站的后台不存在任何用户校验，反之，它会把后台隐藏起来。隐藏之后，公开页面上不存在任何到后台的链接，但是如果直接输入 URL，还是可以访问的。那我们就能使用扫描器扫出后台地址，然后直接访问。
 
+隐藏式后台属于垂直越权，因为用户的身份没有变，但是它拥有了管理员权限。
+
 ## Cookie 绕过
 
 有些时候，我们可以绕过 Cookie、JS 代码的验证执行越权。