【重要提示】因为公众号改了推送规则,一些读者反映有时收不到文章更新,不想错过的兄弟可以这样:1、星标:点击公众号头像右上角的小人-然后点击点击右上角的“…”-设为星标。2、分享、赞、在看:在每篇文章下方点亮“分享”、“赞”、“在看”,只有多点,微信才会判定你喜欢这个号,才会给你推送。3、常读:只有多看公众号的文章,微信才会判定你喜欢,实验室文章更新时才会出现在你公众号列表的顶部。
本文作者:heart(Ms08067实验室 SRSP TEAM小组成员)
网站首页如下,通过路径得知使用的使用的eShop程序搭建,通过faction.ico图标得知中间件是Apache Tomcat。
首先使用用户B访问用户选项中的用户列表
点击进入查看 test2@test2.com 用户详情,
如下:(注意地址栏)
与此同时burp抓包得到如下
可以看到对应的箭头标注处 注意Referer 此处的链接,
分别对应了id 和 registerInClient,
此时我们查看用户A以上面步骤访问test@test.com 用户信息时的请求包
可以看到依旧是一一对应的,如何进行越权查看呢,问题就在Referer处的链接
步骤如下:
首先我现在登入的是用户B的账户,然后使用用户A的Referer处的链接直接在浏览器地址栏上访问,我们来看看效果:
虽然有提示错误 无权执行操作,但我还是依旧访问进入了用户A的账户
访问授权应用列表时虽然提示无权但依旧可以访问,
但下面的操作就不会进行错误提示:
可以看到得到用户的全部信息,但是在访问链接往下的时候已经可以很直观的看到了这里是可以得到用户的token。
可以查看用户的位置信息记录
还可以得到用户池的密钥。
总结:
只需要得到用户的id registerInClient 值就可以以最简单的方式实现越权访问用户的敏感数据。
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
目前25000+人已关注加入我们
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
