以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
Maple_land34 分钟前
Linux进程第五讲:PPID与bash的关联、fork系统调用的原理与实践操作(上)风为你而吹1 小时前
【玩泰山派】4、制作ubuntu镜像-(6)使用鲁班猫的sdk去制作镜像running thunderbolt1 小时前
项目---网络通信组件JsonRpc影子24012 小时前
Windows Server2016 服务器安装JDK,一直卡在“应用程序正在为首次使用作准备,请稍候” ,导致jdk安装失败解决方案养生技术人2 小时前
Oracle OCP认证考试题目详解082系列第48题_OP_CHEN2 小时前
Linux 系统编程:(一)从历史演进到 XShell 远程登录实操为java加瓦3 小时前
Rust 的类型自动解引用:隐藏在人体工学设计中的魔法罗技1233 小时前
Docker 启动 Easysearch 时自定义初始密码的几种方式未来之窗软件服务3 小时前
操作系统应用开发(二十八)rust OIDC服务器—东方仙盟筑基期维尔切5 小时前
Nginx 反向代理与负载均衡