未经许可,不得转载。 文章目录 正文 攻击过程 正文 我已经测试这个应用程序一段时间了。这是一个事件组织应用程序,供活动管理者组织活动并管理注册者。我的目标是了解该应用程序如何处理请求的授权和认证。 攻击过程 1、我创建了两个账户,每个账户都使用了一些随机的客户ID。 2、我尝试从账户一(攻击者账户)访问账户二的数据。 3、我进入了“Customers”标签页,在我的账户下可以看到所有我的客户。 4、我拦截了请求,并将: { "eventID": 23423423 } 修改为: { "eventID": victimID } </
超级会员免费看
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
