公众号:掌控安全EDU 分享更多技术文章,欢迎关注一起探讨学习
某米企业src漏洞挖掘
这一挖就挖到了一个未授权操作漏洞,写个文章记录下~~
通过信息收集,发现这么一个资产。
访问 http://xxx.com 如下图所示
1.点击头像-点击授权登录
2.然后发现可删除大量授权的用户信息,总计全部1292条,最新时间实时更新
发现可删除内部数据
3.可授权所有用户登录
没看够~?欢迎关注! 
实战纪实 | 某米企业src未授权访问
渗透测试老鸟-九青2023-10-07 16:32
相关推荐
wanhengidc2 小时前
服务器租用有何优点csdn_aspnet2 小时前
Gemini赋能安全工程师,自动写PoC脚本,探索Gemini在网络安全领域辅助漏洞验证与POC生成的实战路径Chengbei112 小时前
一站式源码安全检测工具、云安全 / APP / 小程序源码敏感信息递归多层目录扫描AK、JWT、手机号、身份证等敏感信息小江的记录本5 小时前
【JVM虚拟机】垃圾回收GC:垃圾回收算法:标记-清除、标记-复制、标记-整理、分代收集(附《思维导图》+《面试高频考点清单》)超梦dasgg6 小时前
Java 生产环境第三方对接安全保障方案IAR Systems7 小时前
软件定义汽车:构建更安全、更智能的汽车应用软件无限进步_8 小时前
【C++】weak_ptr、循环引用与线程安全叶落阁主8 小时前
AntV npm 投毒复盘:一次公司私服缓存恶意包引发的账号封禁事件cfm_29149 小时前
MySQL8.0 核心新特性详解(架构/性能/SQL/索引/安全全覆盖)lcreek9 小时前
Java安全:理解JNDI注入与Fastjson反序列化漏洞