麦包包一处越权漏洞可获取他人收货地址 - 网站

1.麦包包的个人收获地址网址：http://my.mbaobao测试数据/member/profile/address，新增自己收货地址。

2.写好自己的地址，保存

3.编辑自己的收获地址

4.保存，查看发送的请求，有一个oprateId，修改

5.然后查看自己的收获地址中，多了一个人的名字，而且手机号码也显示出来了

6.通过遍历，发送请求，可以得到许多用户的名字，电话号码有的会被**打掉

7.为了更好的测试此漏洞，又新建了一个账户，账户姓名，王尼玛，电话号码，如果经过修改过，就不会被**打掉，证明上面漏洞遍历id的话还是能获取全部人姓名一部分人的电话的

8.修改王尼玛的地址，查看请求的id

9.利用第一个帐号，在请求一下王尼玛id

10.好了，王尼玛的姓名和电话号码被加入列表中了

11.最后发现一个漏洞，就是当第一个用户请求到王尼玛的id姓名之后，第二个用户查看自己填写的王尼玛资料没有了，利用这个遍历id可以删除别人填写的所有地址。

修复方案：

增加权限控制，他人id资料，无权访问修改。

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did15277

更新时间：2022-09-13 阅读：50次