联想某站点任意用户密码+资料修改(权限限制不严

存在问题的站点：http://legc.lenovo测试数据/

一.任意用户密码修改

1.注册一个帐号，点击来进行用户密码修改；

2.抓包得到如下数据，发现未进行过多校验，通过修改用户id参数即可修改不用用户密码；

3.但是我们发现只能通过用户的注册邮箱才能登录系统，邮箱这个还真不好办呀，但是我发现某个抠脚大汉的用户名，信息量略丰富呀；

4.我猜的没错，后面那串数字果然是这个大汉的秋秋邮箱，有图有真相；

5.于是呼，我成功登录了大汉的帐号；

二.任意用户资料修改

1.这个嘛，原理同上，不能不想演示，但是我发现一个自称是女汉子的妹纸，so；

2.使用自己的帐号填好我想修改的信息；

3.点击提交并抓包得到如下数据；

4.将自己的id信息改成妹纸的id提交，so look；

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did14744

更新时间：2022-09-13 阅读：56次