web安全入门 | 记新手小白初次尝试挖越权漏洞

目录

中华人民共和国网络安全法

文章内容仅用于以防御为目的的演示请勿用于其他用途,否则后果自负

前言

渗透思路

渗透过程

第一步:注册测试账号

分析请求与响应

取消预约测试

越权测试

参考


中华人民共和国网络安全法

第二十七条

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动:不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具,明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

文章内容仅用于以防御为目的的演示请勿用于其他用途,否则后果自负

漏洞发布要求

1.不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息

2.不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况不得刻意夸大网络产品安全漏洞的危害和风险,

3.不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动

4.不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具5. 5.在发布网络产品安全漏洞时,应当同步发布修补或者防范措施

6.在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息

7.不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供

8.法律法规的其他相关规定

前言

渗透思路

在遇到有预约功能的页面时,不妨尝试一下是否可以越权取消其他用户的预约。

渗透过程

作为一个刚刚入门的小白,某日在挖了一整天漏洞毫无收获后正准备放弃,面对着某高校校内医院小程序中有着预约功能的页面,突然灵机一动,既然能预约和取消预约,为何不试试能不能取消别人的预约呢,说干就干

第一步:注册测试账号

第一步先用虚假信息随意注册两个账号分别预约挂号,其中张三的号用来抓包(图1),另一个号用来测试是否能越权成功。

分析请求与响应

先预约挂号

这是预约完成后的返回包,在对比后面取消预约的请求包后发现其中的id值可以用于取消订单。

这是预约记录的页面。

取消预约测试

取消预约,发现请求包中的id和之前预约成功后响应包中的id相同。

尝试通过修改请求包中的id值越权取消其他用户的预约。

越权测试

这是王某某的预约请求。

这是王某某的预约响应。

使用张三的取消预约请求包修改成王某某的预约的id,修改后重放。返回取消成功。

登录王某某的账号查看预约记录,发现越权成功!

相关推荐
安卓开发者1 天前
鸿蒙NEXT系统Picker全解析:安全高效的用户资源访问之道
安全·华为·harmonyos
安卓开发者1 天前
鸿蒙NEXT安全控件解析:实现精准权限管控的新范式
安全·华为·harmonyos
wanhengidc1 天前
BGP高防服务器具体是指什么
运维·服务器·网络·安全·游戏·智能手机
hello_2501 天前
k8s安全机制解析:RBAC、Service Account与安全上下文
java·安全·kubernetes
汽车仪器仪表相关领域1 天前
工业安全新利器:NHQT-4四合一检测线系统深度解析
网络·数据库·人工智能·安全·汽车·检测站·汽车检测
鼓掌MVP1 天前
Lighthouse安全组自动化审计与加固:基于MCP协议的智能运维实践
运维·安全·自动化·腾讯轻量云ai创想家
lypzcgf1 天前
Coze源码分析-资源库-创建数据库-后端源码-安全与错误处理
数据库·安全·go·coze·coze源码分析·ai应用平台·agent平台
AndyYang20171 天前
nmap 基本扫描命令
服务器·网络·安全·渗透测试·nmap·扫描工具
ISACA中国1 天前
《第四届数字信任大会》精彩观点:腾讯经验-人工智能安全风险之应对与实践|从十大风险到企业级防护架构
人工智能·安全·架构·漏洞案例·大模型越狱·企业级防护
GIS数据转换器1 天前
2025无人机在低空物流中的应用实践
大数据·网络·人工智能·安全·无人机