实战|记一次src逻辑漏洞挖掘

admin 2022年9月8日15:12:17评论24 views字数 368阅读1分13秒阅读模式

src漏洞挖掘

漏洞已通知厂商修复

本人web小白 文章技术含量不会很高


实战|记一次src逻辑漏洞挖掘

注册了两个账号
测试业务

实战|记一次src逻辑漏洞挖掘

发现了支付页面,可以测试能不能修改,其中我发现了几个参数

实战|记一次src逻辑漏洞挖掘

我猜第二个参数是用户id 那我就可以修改用户id达到修改订单的目的
第三个是套餐的id (经过测试)

实验的方法是在注册一个号 把第二个的id 给第一个号 替换

实战|记一次src逻辑漏洞挖掘

订单跑到第二个号里了

实战|记一次src逻辑漏洞挖掘

或试试能不能 sql 注入
或许可以想一想 只要是该用户发送请求就会携带这个id,那我手里的id就可以达到平行越权的行为
去请求自己的主页

好吧我所期望的并没有发生

————————————————
作者:果汁天下苏
原文链接:https://blog.csdn.net/qq_47604261/article/details/121192430

扫码加好友拉你进交流群(请备注)

实战|记一次src逻辑漏洞挖掘

原文始发于微信公众号(菜鸟学安全):实战|记一次src逻辑漏洞挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月8日15:12:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|记一次src逻辑漏洞挖掘http://cn-sec.com/archives/1285988.html

发表评论

匿名网友 填写信息