1.注册一个帐号,默认有1000天才豆。
2.点击兑换,抓取HTTP请求包如下:
3.修改userid参数后提交,导致水平越权。这里修改为58888:
如果修改为其他值,那么该账户上的天才豆都没了。所以,不做深入测试。
证明危害:userid:58888
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。
发表评论