修改贴子内容的页面访问提示无权限,但在提交修改页没做权限控制。
主题贴子和回复是同一个链接修改。
拿一客服发贴做测试
http://www.huazhu.com/forum/topic-1876669
先找一下ID
直接访问编辑页提示没有权限
修改自己的一个回复,然后把ID修改为前面查看到的客服内容ID
漏洞证明:
修复方案:
权限控制
记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华汉庭酒店会员论坛越权(修改任意贴子及回复)
2014-08-07 06:05
想收藏或者和大家分享这篇好文章→复制链接地址
“汉庭酒店会员论坛越权(修改任意贴子及回复)”共有0条留言
发表评论
黑帝公告 📢
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤