GRADUATION
点击蓝字 关注我们
前言:
本来是在挖SRC资产结果一下没注意打偏了...于是就出来了这个漏洞,当个学习思路吧(简单)
漏洞测试:
A、在“今日用户排行”榜中 随意选择一个用户,对其抓包:
图 1-1
B、获取该用户的user_id值
图 1-2
C、主页可以发现一个很明显的功能,“我的统计”功能
图 1-3
D、最下方有个:“导出步数”功能:将user_id替换为其他用户的即可查看其它用户的数据(可对日期筛选);
图 1-4
图 1-5
小总结:
一次偶然SRC挖掘,打偏了...就有了这个意外洞,当然也存在其它漏洞,后续...没测了。
小问题:
A、你们觉得可以测那些功能点呢?
B、你们觉得存在哪些漏洞呢?
C、你们的思路大致是怎么样的呢?
编辑|青春计协
审核|青春计协
原文始发于微信公众号(青春计协):简单越权漏洞学习
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论