探讨一下src逻辑漏洞挖掘

电子说

1.2w人已加入

描述

src漏洞挖掘

漏洞已通知厂商修复

本人web小白 文章技术含量不会很高

注册了两个账号 测试业务


  SRC


发现了支付页面,可以测试能不能修改,其中我发现了几个参数
 

SRC


我猜第二个参数是用户id 那我就可以修改用户id达到修改订单的目的 第三个是套餐的id (经过测试)  

实验的方法是在注册一个号 把第二个的id 给第一个号 替换

SRC


订单跑到第二个号里了

SRC

或试试能不能 sql 注入 或许可以想一想 只要是该用户发送请求就会携带这个id,那我手里的id就可以达到平行越权的行为 去请求自己的主页。

好吧我所期望的并没有发生。




审核编辑:刘清

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分