实战纪实 | 某米企业src未授权访问

admin 2024年10月7日18:50:39评论7 views字数 268阅读0分53秒阅读模式

本文由掌控安全学院 - 一呼投稿

某米企业src漏洞挖掘

这一挖就挖到了一个未授权操作漏洞,写个文章记录下~~

通过信息收集,发现这么一个资产。
访问 http://xxx.com 如下图所示

1.点击头像-点击授权登录

实战纪实 | 某米企业src未授权访问

2.然后发现可删除大量授权的用户信息,总计全部1292条,最新时间实时更新

实战纪实 | 某米企业src未授权访问

发现可删除内部数据

实战纪实 | 某米企业src未授权访问

3.可授权所有用户登录

实战纪实 | 某米企业src未授权访问

实战纪实 | 某米企业src未授权访问

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

实战纪实 | 某米企业src未授权访问

 

原文始发于微信公众号(掌控安全EDU):实战纪实 | 某米企业src未授权访问

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日18:50:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战纪实 | 某米企业src未授权访问http://cn-sec.com/archives/1967086.html

发表评论

匿名网友 填写信息