以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
桥边驿语人6 分钟前
使用Docker Desktop进行本地打包和推送ldq_sd11 分钟前
Django 创建CSV文件头发尚存的猿小二42 分钟前
Linux--文件系统是程序喵呀2 小时前
软考《信息系统运行管理员》- 7.1 物联网运维卑微的小鬼2 小时前
fabric test-network启动逆风局?2 小时前
计算机网络——IP地址sondx2 小时前
mac安装浏览器闪退处理Liuzhengyue_3 小时前
Linux shell脚本编程babytiger3 小时前
在 VMware 中为 Ubuntu 24.04 虚拟机设置共享文件夹后,在虚拟机中未能看到共享的内容李匠20244 小时前
C++学习之服务器EPOLL模型、处理客户端请求、向客户端回复数、向客户端发送文件