以admin 账号登陆,添加一个用户;
把添加用户的这个请求发送到 repeater;
退出admin,使用普通用户pikachu登陆;
只有查看权限;
使用pikachu 用户的认证信息,替换repeater处管理员创建用户请求的认证信息
替换cookie
发送成功;
可以看到已经有两个 1111 用户;
越权一般就是修改认证信息、或者修改参数;
查看后端代码:
只做是否登陆校验,不做是否时管理员的校验;
相关推荐
skywalk81635 分钟前
树莓派2 安装raspberry os 并修改成固定ipco0t28 分钟前
计算机网络(14)ip地址超详解淡水猫.34 分钟前
Fakelocation Server服务器/专业版 ubuntuwenyue112141 分钟前
Ease Monitor 会把基础层,中间件层的监控数据和服务的监控数据打通,从总体的视角提供监控分析量子网络1 小时前
debian 如何进入root时光の尘1 小时前
C语言菜鸟入门·关键字·float以及double的用法我们的五年1 小时前
【Linux课程学习】:进程描述---PCB(Process Control Block)运维老司机1 小时前
Jenkins修改LOGOD-海漠2 小时前
基础自动化系统的特点我言秋日胜春朝★2 小时前
【Linux】进程地址空间