简单越权漏洞学习

admin 2024年9月25日10:03:55评论10 views字数 355阅读1分11秒阅读模式

GRADUATION

点击蓝字 关注我们

简单越权漏洞学习

前言:

      本来是在挖SRC资产结果一下没注意打偏了...于是就出来了这个漏洞,当个学习思路吧(简单)

简单越权漏洞学习

漏洞测试

A、在“今日用户排行”榜中 随意选择一个用户,对其抓包:

简单越权漏洞学习

图 1-1

B、获取该用户的user_id值

简单越权漏洞学习

图 1-2

C、主页可以发现一个很明显的功能,“我的统计”功能

简单越权漏洞学习

图 1-3

D、最下方有个:“导出步数”功能:将user_id替换为其他用户的即可查看其它用户的数据(可对日期筛选);

简单越权漏洞学习

图 1-4

简单越权漏洞学习

图 1-5

小总结:

      一次偶然SRC挖掘,打偏了...就有了这个意外洞,当然也存在其它漏洞,后续...没测了。

小问题:

A、你们觉得可以测那些功能点呢?

B、你们觉得存在哪些漏洞呢?

C、你们的思路大致是怎么样的呢?

简单越权漏洞学习
简单越权漏洞学习

编辑|青春计协

审核|青春计协

原文始发于微信公众号(青春计协):简单越权漏洞学习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月25日10:03:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   简单越权漏洞学习http://cn-sec.com/archives/3203521.html

发表评论

匿名网友 填写信息