以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
埃伊蟹黄面5 分钟前
数据链路层Dillon Dong32 分钟前
【系列主题】从 Docker 构建失败看依赖隔离:多阶段构建的“隐形陷阱”云飞云共享云桌面40 分钟前
精密机械制造工厂研发部门使用SolidWorks和ug,三维设计云桌面如何选择?小心我捶你啊1 小时前
VPS的主要用途,与其它方式的区别网络小白不怕黑1 小时前
1.2 VMware部署Rocky Linux 9 (MBR分区表,图形化安装)BizObserver1 小时前
从 SEO 到 GEO:2026 年品牌信息分发逻辑的颠覆性变革练习时长一年1 小时前
@NotEmpty注解引发的报错狂奔蜗牛飙车2 小时前
大数据赛项(中职组)-VMware+CentOS 7环境安装蚰蜒螟2 小时前
深度剖析:从 clone3 到 start_routine —— Linux 新线程的“破茧成蝶”之旅空中海2 小时前
Nginx 知识体系 · 下篇:高级与实战