汽车之家漏洞系列-任意修改删除用户信息 - 网站

mall.autohome测试数据.cn可任意修改、删除用户的信息，如个人收货信息；

1.使用两个用户分别添加一条收货信息如下（可根据浏览器区分）；

2.获取其中一个用户的收货信息id值；

3.使用另一个用户修改收货信息，修改内容如下；

4.点击保存并抓包，修改id值为第一个用户的[87337]并提交；

5.返回页面刷新，发现id为87337的信息被成功修改；

6.我们发现删除用户的收货信息直接是一个get请求如下；

7.我们将上面的addid值修改为[87337]提交，成功删除了该用户的收货信息；

PS：恶意的攻击者可直接使用burpsuite之类的工具，不断提交请求，即可删除所有用户的收货信息！！当然也可以更改所有用户的收货信息！！

修复方案： 1.过滤敏感字符；

2.严格校验用户身份合法性；

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did15044

更新时间：2022-09-13 阅读：47次