Pikachu- Over Permission-垂直越权

以admin 账号登陆,添加一个用户;

把添加用户的这个请求发送到 repeater;

退出admin,使用普通用户pikachu登陆;

只有查看权限;

使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息

替换cookie

发送成功;

可以看到已经有两个 1111 用户;

越权一般就是修改认证信息、或者修改参数;

查看后端代码:

只做是否登陆校验,不做是否时管理员的校验;

相关推荐
大哥_ZH2 分钟前
Linux umami在国产麒麟系统安装网站统计工具(只能上国内网站的系统)
linux·服务器
o(╥﹏╥)18 分钟前
在 Ubuntu 上安装 VS Code
linux·运维·vscode·ubuntu·vs
AI慧聚堂43 分钟前
自动化 + 人工智能:投标行业的未来是什么样的?
运维·人工智能·自动化
不爱学英文的码字机器1 小时前
[Linux] Shell 命令及运行原理
linux·运维·服务器
cdut_suye1 小时前
Linux工具使用指南:从apt管理、gcc编译到makefile构建与gdb调试
java·linux·运维·服务器·c++·人工智能·python
qq_433618441 小时前
shell 编程(三)
linux·运维·服务器
苹果醋31 小时前
2020重新出发,MySql基础,MySql表数据操作
java·运维·spring boot·mysql·nginx
两张不够花1 小时前
Jenkins 持续集成部署
运维·jenkins
Hacker_xingchen2 小时前
天融信Linux系统安全问题
linux·运维·系统安全
丘狸尾2 小时前
[cisco 模拟器] ftp服务器配置
android·运维·服务器