以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
EasyCVR38 分钟前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?wowocpp2 小时前
ubuntu 22.04 硬件配置 查看 显卡萨格拉斯救世主2 小时前
jenkins使用slave节点进行node打包报错问题处理川石课堂软件测试2 小时前
性能测试|docker容器下搭建JMeter+Grafana+Influxdb监控可视化平台龙哥说跨境2 小时前
如何利用指纹浏览器爬虫绕过Cloudflare的防护?pk_xz1234564 小时前
Shell 脚本中变量和字符串的入门介绍小珑也要变强4 小时前
Linux之sed命令详解海绵波波1074 小时前
Webserver(4.3)TCP通信实现九河云6 小时前
AWS账号注册费用详解:新用户是否需要付费?Lary_Rock6 小时前
RK3576 LINUX RKNN SDK 测试