0x00 Preface [前言/简介]
只为记录在项目中碰到的一些有意思的漏洞,大佬轻喷。
未授权访问漏洞指需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
本篇文章的未授权访问的姿势比较不一样,详情请看下文
0x02 chapter2 姿势介绍
访问后台登录一个账号,如果url包含参数有很多,请直接把url复制到另外一个浏览器访问。
这一次的项目是一个提交工单的服务系统,具体是啥就不说了,保密原则。
发现无需认证直接进入了后台,可以进行任何操作,感觉妥当了,这次项目又可以交差了。
到这之后,因为我需要更换浏览器,一些使用的插件只有火狐才有,直接复制整个url过去.
(请注意重点来了,刚刚是谷歌浏览器,现在我切到火狐,之前并未在整个浏览器访问或者登录过这个网站)
直接进入后台,但是此处有一些限制,只能在那个账号是登录状态的时候,才能无需认证进入后台。
大概就是记录一些自己在项目中或者是平时挖洞中的一些有意思的漏洞,也没啥技术含量,主要还是说找出并记录一些新姿势
往后挖洞的时候细心再细心,来自安服仔的水文
如您有任何问题、建议、需求请后台留言NOVASEC公众号!
感谢大哥们的对NOVASEC的支持点赞和关注
加入我们与萌新一起成长吧!
如有任何问题、建议、合作、投稿请加NOVASEC-MOYU,以方便及时回复。
本文始发于微信公众号(NOVASEC):逻辑漏洞——未授权的新姿势
评论