点击蓝字,关注我们
某小程序多处越权查询
正常进入小程序,在我的-本月家庭成长值查询时,发现以下数据包
修改familyId,可以查看他人成长值
思考,既然这里存在越权,那其他地方是不是也有可能存在越权?!
寻找其他功能点试试
看到一处查询,数据包如下:
修改childId,发现也可以返回别人的内容
很不错,果然有其他功能点的越权,继续翻找,发现低碳家庭查询处也存在越权
修改beAuthUserId,可返回别人的明细
免责声明:
本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透测试都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
原文始发于微信公众号(TimeAxis Sec):某小程序多处越权查询
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论