公众号:掌控安全EDU 分享更多技术文章,欢迎关注一起探讨学习
某米企业src漏洞挖掘
这一挖就挖到了一个未授权操作漏洞,写个文章记录下~~
通过信息收集,发现这么一个资产。
访问 http://xxx.com 如下图所示
1.点击头像-点击授权登录
2.然后发现可删除大量授权的用户信息,总计全部1292条,最新时间实时更新
发现可删除内部数据
3.可授权所有用户登录
没看够~?欢迎关注! 
实战纪实 | 某米企业src未授权访问
渗透测试老鸟-九青2023-10-07 16:32
相关推荐
浩浩测试一下1 小时前
内网---> WriteOwner权限滥用Loo国昌2 小时前
【大模型应用开发】第六阶段:模型安全与可解释性乾元2 小时前
终端安全(EDR):用深度学习识别未知勒索软件安科瑞刘鸿鹏173 小时前
高速路灯故障难定位?用 ASL600 实现精确单灯监测与维护预警darkb1rd12 小时前
四、PHP文件包含漏洞深度解析哆啦code梦13 小时前
2024 OWASP十大安全威胁解析网络安全研究所14 小时前
AI安全提示词注入攻击如何操控你的智能助手?海心焱15 小时前
安全之盾:深度解析 MCP 如何缝合企业级 SSO 身份验证体系,构建可信 AI 数据通道程序员哈基耄17 小时前
纯客户端隐私工具集:在浏览器中守护你的数字安全darkb1rd18 小时前
五、PHP类型转换与类型安全