以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
含目的基因的质粒20 小时前
Python异常、模块、包喜欢你,还有大家21 小时前
集群——GitLab&&Jenkins部署2501_938790071 天前
从 0 到 1:解决 VsCode 远程连服务器后 Github Copilot 无法使用问题江輕木1 天前
如何使用宿主机软件共享网络给CentOS 7IT曙光1 天前
在华为TaiShan 200系列服务器基于CentOS 7.6/7.7创建虚拟机The Chosen One9851 天前
【Linux】Linux下基本指令:man echo cp mv move less date grep zip tar 指令以及指令的本质国服第二切图仔1 天前
Rust开发之使用anyhow与thiserror简化错误处理笨蛋少年派1 天前
*清理磁盘空间swsauto1 天前
Ubuntu系统开机图标变大分辨率降低,找不到其他选项JavaLearnerZGQ1 天前
配置Docker镜像源