以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
虾..4 分钟前
Linux 环境变量&&进程优先级数据库学啊2 小时前
团队小希望运维简单,时序数据库选型有什么推荐?霍格沃兹软件测试开发2 小时前
Playwright MCP浏览器自动化指南:让AI精准理解你的命令郝学胜-神的一滴3 小时前
Linux命名管道:创建与原理详解宾有为3 小时前
【Linux】Linux 常用指令wanhengidc3 小时前
云手机性能如何?ajassi20003 小时前
开源 Linux 服务器与中间件(十三)FRP服务器、客户端安装和测试wan_da_ren4 小时前
Docker安装Elasticsearch9.2.1与Kibana9.2.1 保姆教程(带验证版)Hellc0074 小时前
Docker部署BaGet私有NuGet服务器:从入门到备份恢复完整指南 二Eric.Lee20215 小时前
ubuntu 安装 Miniconda