【漏洞复现】水平越权漏洞

原理

相同级别的同一用户或者同一角色的不同用户,可以越权访问,对其它用户的信息进行修改、删除等等违法操作

墨者学院靶场复现

地址: https://www.mozhe.cn/.

启动靶场:
在这里插入图片描述

在这里插入图片描述登录,同时bp抓包:
在这里插入图片描述
在这里插入图片描述
在这个包中看到id:
在这里插入图片描述
发送到暴力破解模块遍历一下:
在这里插入图片描述
在这里插入图片描述
然后来到登录界面,右键图片,检查源代码属性:
在这里插入图片描述
从我们暴力破解遍历的结果中找到id尾号为16的,就是马春生的个人信息:
在这里插入图片描述在这里插入图片描述
链接: https://www.cmd5.com/.
在这里插入图片描述
然后登录,成功找到key:
在这里插入图片描述
在这里插入图片描述

版权声明:本文为qq_45697116原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。