以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
hy____1237 分钟前
Linux_进程间通信银发控、14 分钟前
nginx静态资源老百姓懂点AI27 分钟前
[测试工程] 告别“玄学”评测:智能体来了(西南总部)基于AI agent指挥官的自动化Eval框架与AI调度官的回归测试德育处主任Pro1 小时前
『NAS』用SSH的方式连上NASMeaauf1 小时前
VMware安装中科方德服务器操作系统南宫码农1 小时前
神马影视8.5版本如意伪静态+视频教程mftang1 小时前
现代互联网安全的基石: SSL/TLS技术介绍坐怀不乱杯魂1 小时前
Linux网络 - 网络层j_xxx404_1 小时前
Linux:命令行参数与环境变量j_xxx404_1 小时前
Linux:进程虚拟地址空间|虚拟内存管理