目标信息

目标是一个名为“free-palestine.com”的私人项目。这是一个面向员工的数字平台。超过100万用户在线查看工资单、申请假期和处理工作任务。只有注册的客户公司才能访问该平台。

概括

此漏洞允许在提交费用时绕过前端检查。通常情况下，该应用程序会阻止：- 未来日期- 负值。但通过拦截和修改请求，这些值可以成功提交，从而导致数据篡改或财务滥用。

重现步骤

我以普通用户身份登录，并浏览了平台，了解其运作方式。我发现了一个名为“费用”的页面，用户可以在其中填写以下内容来创建新的费用： -费用类型- 金额- 金额- 日期- 重复（是或否）。测试时，我注意到两个客户端验证问题：- 无法输入“0”或“负值”（显示“小数点后位数最多为 2 位”）- 无法选择“未来日期”（UI 屏蔽了该选项）。

我在表单中填写了有效数据并点击了**保存**，然后使用代理工具拦截请求并更改：```json“value”: -100,“dateFrom”: “2026-06-30”

** Bo00om！ **服务器响应：“success”：true

这意味着后端无法正确验证日期或值，并且我能够轻松绕过前端限制。

影响

恶意用户可能会：- 提交虚假或不正确的支出- 篡改财务记录- 滥用内部系统。这可能会导致数据错误或财务损失。注意：我已负责任地报告此事，且未造成任何滥用。

额外的发现

我在其他领域寻找类似的错误，并在“开发活动”中发现了一个。“补充费用”字段在用户界面中阻止了负值。-我在请求中将其更改为。-服务器接受了它。"Cost": 100"Cost": -100"

严重程度为“低”，因为它仅影响用户。然而，它仍然显示缺少后端验证。

原文始发于微信公众号（红云谈安全）：绕过费用提交中的日期和金额限制