公众号:掌控安全EDU 分享更多技术文章,欢迎关注一起探讨学习
某米企业src漏洞挖掘
这一挖就挖到了一个未授权操作漏洞,写个文章记录下~~
通过信息收集,发现这么一个资产。
访问 http://xxx.com 如下图所示
1.点击头像-点击授权登录
2.然后发现可删除大量授权的用户信息,总计全部1292条,最新时间实时更新
发现可删除内部数据
3.可授权所有用户登录
没看够~?欢迎关注! 
实战纪实 | 某米企业src未授权访问
渗透测试老鸟-九青2023-10-07 16:32
相关推荐
纽格立科技4 小时前
安全播出之外的第二条腿——两座老发射台的现场HackTwoHub5 小时前
Linux 内核史诗级本地提权 全网深度复现、原理完整分析( CVE-2026-31431)雪碧聊技术5 小时前
在项目中引入JWT令牌一拳一个娘娘腔7 小时前
红队与蓝队视角:现代网络安全攻防中的Linux命令深度解析书源丶8 小时前
三十五、Java 泛型——类型安全的「万能模板」Chengbei1110 小时前
AI大模型网关存在SQL注入、影响版本LiteLLM 1.81.16~1.83.7(CVE-2026-42208)一拳一个娘娘腔10 小时前
告别图形化界面:基于CLI的Windows系统入侵排查与防御实战手册hwscom11 小时前
Linux服务器如何进行安全加固,防止黑客攻击(Windows也适用)liann11912 小时前
3.4_Linux 应急响应排查速查命令表一拳一个娘娘腔13 小时前
攻防视角下的Windows凭证提取技术演进(2024-2026)