目标信息
目标是一个名为“free-palestine.com”的私人项目。这是一个面向员工的数字平台。超过100万用户在线查看工资单、申请假期和处理工作任务。只有注册的客户公司才能访问该平台。
概括
此漏洞允许在提交费用时绕过前端检查。通常情况下,该应用程序会阻止:- 未来日期- 负值。但通过拦截和修改请求,这些值可以成功提交,从而导致数据篡改或财务滥用。
重现步骤
我以普通用户身份登录,并浏览了平台,了解其运作方式。我发现了一个名为“费用”的页面,用户可以在其中填写以下内容来创建新的费用: -费用类型- 金额- 金额- 日期- 重复(是或否)。测试时,我注意到两个客户端验证问题:- 无法输入“0”或“负值”(显示“小数点后位数最多为 2 位”)- 无法选择“未来日期”(UI 屏蔽了该选项)。
我在表单中填写了有效数据并点击了**保存**,然后使用代理工具拦截请求并更改:```json“value”: -100,“dateFrom”: “2026-06-30”
** Bo00om! **服务器响应:“success”:true
这意味着后端无法正确验证日期或值,并且我能够轻松绕过前端限制。
影响
恶意用户可能会:- 提交虚假或不正确的支出- 篡改财务记录- 滥用内部系统。这可能会导致数据错误或财务损失。注意:我已负责任地报告此事,且未造成任何滥用。
额外的发现
我在其他领域寻找类似的错误,并在“开发活动”中发现了一个。“补充费用”字段在用户界面中阻止了负值。-我在请求中将其更改为。-服务器接受了它。"Cost": 100
"Cost": -100"
严重程度为“低”,因为它仅影响用户。然而,它仍然显示缺少后端验证。
原文始发于微信公众号(红云谈安全):绕过费用提交中的日期和金额限制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论