中糧我買網越權操作缺陷(刪除 修改任意使用者資訊)

2021-12-29 20:52:31 字數 576 閱讀 5474

之前提交 中糧我買網刪除任意使用者資訊 任意使用者位址資訊刪除,我也沒有驗證是否修復,不過找到了另外乙個藉口。可完成同樣的操作。

找你們的洞真不容易呀~~~

-------------------------------

一、任意使用者位址刪除

1·使用者1 新增收貨位址 

同時審查元素看到此位址value=4799777,當然啦,這個就是要被消滅的物件了。

2·使用者2登陸,正常購物,在提交訂單的時候,有個介面對使用者的位址資訊進行操作。  

做刪除操作時候抓包或者httpreplay 一下

success! 回來看使用者1的位址簿

bingo! 

二、任意使用者位址修改

1·使用者1新增位址id=4799785

可以留意一下收貨人名稱和**號碼資訊。

2·在與上面同樣的介面處

提交對位址資訊的修改 3·

修改其中的收貨人名稱和**號碼資訊。replay

4·效果

bingo! 

修復方案:

兩處越權

是不是分數高一些呢~~~