Pikachu- Over Permission-垂直越权

以admin 账号登陆,添加一个用户;

把添加用户的这个请求发送到 repeater;

退出admin,使用普通用户pikachu登陆;

只有查看权限;

使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息

替换cookie

发送成功;

可以看到已经有两个 1111 用户;

越权一般就是修改认证信息、或者修改参数;

查看后端代码:

只做是否登陆校验,不做是否时管理员的校验;

相关推荐
EasyCVR38 分钟前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?
运维·服务器·网络·人工智能·ffmpeg·音视频
wowocpp2 小时前
ubuntu 22.04 硬件配置 查看 显卡
linux·运维·ubuntu
萨格拉斯救世主2 小时前
jenkins使用slave节点进行node打包报错问题处理
运维·jenkins
川石课堂软件测试2 小时前
性能测试|docker容器下搭建JMeter+Grafana+Influxdb监控可视化平台
运维·javascript·深度学习·jmeter·docker·容器·grafana
龙哥说跨境2 小时前
如何利用指纹浏览器爬虫绕过Cloudflare的防护?
服务器·网络·python·网络爬虫
pk_xz1234564 小时前
Shell 脚本中变量和字符串的入门介绍
linux·运维·服务器
小珑也要变强4 小时前
Linux之sed命令详解
linux·运维·服务器
海绵波波1074 小时前
Webserver(4.3)TCP通信实现
服务器·网络·tcp/ip
九河云6 小时前
AWS账号注册费用详解:新用户是否需要付费?
服务器·云计算·aws
Lary_Rock6 小时前
RK3576 LINUX RKNN SDK 测试
linux·运维·服务器