Webug4.0 越权查看admin

前言

通过普通用户登录,  查看admin用户的信息

 

 

实战

先看看登录的用户:

 

正常登录普通用户aaaaa:

 

发现有一个id参数对应,

分析: 能不能通过修改登录时候的id值来越权登录其他用户呢? 

看到用户名和密码,  forward登录

 

登录之后, 发现又有一个id参数值的请求....这个id请求源自于上一个页面(漏洞产生):

 

于是, 将id修改为1 (admin用户对应的id值):

越权成功....

发布了38 篇原创文章 · 获赞 0 · 访问量 548
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览