记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

汉庭酒店会员论坛越权(修改任意贴子及回复)

2014-08-07 06:05

修改贴子内容的页面访问提示无权限,但在提交修改页没做权限控制。

主题贴子和回复是同一个链接修改。

拿一客服发贴做测试

http://www.huazhu.com/forum/topic-1876669

先找一下ID

hua11.jpg



直接访问编辑页提示没有权限

hua12.jpg



修改自己的一个回复,然后把ID修改为前面查看到的客服内容ID

hua14.jpg

漏洞证明:

hua13.jpg

修复方案:

权限控制


知识来源: www.wooyun.org/bugs/wooyun-2014-065879

阅读:176344 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“汉庭酒店会员论坛越权(修改任意贴子及回复)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁