Loading
0

小天才电话手表官网存在水平越权操作漏洞(影响用户积分安全)

1.注册一个帐号,默认有1000天才豆。

2.点击兑换,抓取HTTP请求包如下:

3.修改userid参数后提交,导致水平越权。这里修改为58888:

如果修改为其他值,那么该账户上的天才豆都没了。所以,不做深入测试。
证明危害:userid:58888

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱hack@ddos.kim 或 hack@ddos.social,我们会在最短的时间内进行处理。