pikachu靶场水平越权漏洞分析

pikachu靶场水平越权漏洞分析

1:打开pikachu靶场,可以看到该靶场对越权漏洞的概述

2:选择水平越权漏洞模块开始进行漏洞分析

根据该模块分析,有一个登录用户名和密码的界面,点击提示后会发现已经有三个账号已经完成注册了,分别告诉了你用户名和密码,你可以去进行登录

3:我们先登录lucy的账号看看细节

点击查看lucy账号的个人信息

可以看到URL处也有许多细节

通过username传参用户名

4:我们将username传参处的用户名改成kobe或者lili

可以发现转换成功

用户信息不在是lucy

而是变成了kobe

转换成lili也一样

登录成功,存在水平越权漏洞

很明显,在该靶场中,这三个用户名的密码都是一样的,直接更改用户名不用更改密码都能登录成功,没有进行任何防御,水平越权漏洞明显

相关推荐
家里有只小肥猫18 分钟前
uniApp小程序保存canvas图片
前端·小程序·uni-app
前端大全20 分钟前
Chrome 推出全新的 DOM API,彻底革新 DOM 操作!
前端·chrome
JSZNZZ31 分钟前
汽车软件︱AUTO TECH China 2025 广州国际汽车软件与安全技术展览会:开启汽车科技新时代
科技·安全·汽车
花王江不语33 分钟前
设计模式学习笔记
笔记·学习·设计模式
前端小臻1 小时前
关于css中bfc的理解
前端·css·bfc
前端熊猫1 小时前
CSS Grid 布局学习笔记
css·笔记·学习·grid
爱编程的小庄1 小时前
web安全:跨站请求伪造 (CSRF)
安全·web安全·csrf
白嫖不白嫖1 小时前
网页版的俄罗斯方块
前端·javascript·css
HappyAcmen1 小时前
关于Flutter前端面试题及其答案解析
前端·flutter
顾比魁1 小时前
pikachu之CSRF防御:给你的请求加上“网络身份证”
前端·网络·网络安全·csrf