Webug4.0 越权查看admin

前言

通过普通用户登录,  查看admin用户的信息

 

 

实战

先看看登录的用户:

Webug4.0 越权查看admin

 

正常登录普通用户aaaaa:

Webug4.0 越权查看admin

 

发现有一个id参数对应,

分析: 能不能通过修改登录时候的id值来越权登录其他用户呢? 

Webug4.0 越权查看admin

看到用户名和密码,  forward登录

 

登录之后, 发现又有一个id参数值的请求....这个id请求源自于上一个页面(漏洞产生):

Webug4.0 越权查看admin

 

于是, 将id修改为1 (admin用户对应的id值):

Webug4.0 越权查看admin

Webug4.0 越权查看admin

越权成功....

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode