越权操作
可以post任意id,能导致任意用户的用户名被修改
直接把id带到了语句里面,没有对id进行判断
测试 先获取这三个的值 把下面的内容post到上面的页面
审计思路展现 POST id 可控
请填写红包祝福语或标题
红包个数最小为10个
红包金额最低5元
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。