1.注册两枚用户,各发布一条信息;
2.点击删除一个用户发布的信息,抓包得到如下数据;
Host: show.aili测试数据
Accept: */*
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Cookie:
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
3.我们获取另一个用户发布的信息ID;
4.把上面contentid值替换成[7368894]并提交,之后返回该用户页面刷新,发布的信息被成功删除;
PS:我们注意到contentid值是很有规律的,所以攻击者可使用burpsuite大量提交请求,可删除用户用户发布的信息!!
修复方案:
严格校验用户身份
查看更多关于爱丽网越权之任意用户信息删除 - 网站安全 - 自的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15060