以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
fasewer4 分钟前
第五章 linux实战-挖矿 二楚灵魈30 分钟前
[Linux]从零开始的网站搭建教程小小不董32 分钟前
《Linux从小白到高手》理论篇:深入理解Linux的网络管理豆豆1 小时前
为什么用PageAdmin CMS建设网站?DY009J1 小时前
深度探索Kali Linux的精髓与实践应用码农小白2 小时前
linux驱动:(22)中断节点和中断函数4647的码农历程2 小时前
Linux网络编程 -- 网络基础醉颜凉3 小时前
银河麒麟桌面操作系统V10 SP1:取消安装应用的安全授权认证2401_857610033 小时前
SpringBoot实现:校园资料分享平台开发指南