越权取消订单
https://store.b.qq.com/my/orders
这是用户a的Cookie信息,也就是说只能取消用户a本身的订单
我们切换到用户2
利用我们用户a之前的信息来越权去爱下用户2的订单看是否可以
可以看到是用户a的,我们将订单号改成用户2的看看
这是用户2的订单号
返回显示true
回到订单查询处看看
已经取消了
权限验证
记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华腾讯某站越权涉及订单操作
2016-01-01 04:00
想收藏或者和大家分享这篇好文章→复制链接地址
“腾讯某站越权涉及订单操作”共有0条留言
发表评论
公告
九层之台,起于累土;黑客之术,始于阅读