实战纪实 | 某米企业src未授权访问

公众号：掌控安全EDU 分享更多技术文章，欢迎关注一起探讨学习

某米企业src漏洞挖掘

---

这一挖就挖到了一个未授权操作漏洞，写个文章记录下~~

通过信息收集，发现这么一个资产。

访问 http://xxx.com 如下图所示

1.点击头像-点击授权登录2.然后发现可删除大量授权的用户信息，总计全部1292条，最新时间实时更新发现可删除内部数据3.可授权所有用户登录

没看够~？欢迎关注！