IDOR之如何打破订阅限制

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 前言 众所周知，很多订阅产品的管理页面中包含许多功能，如使用情况、数据、用户、访问等管理。 今天分享一个国外利用业务逻辑缺陷打破订阅时限限制的案例，废话不多说，让我们开始吧。 漏洞详情 白帽小哥偶然间发现了一个带有Authentication Domains用户管理的界面，正如下面所看到的，该界面用于创建身份验证域或重命名默认名称或更改内容： 于此同时白帽小哥还发现使用此界面可以订阅专业计划： 经过一番测试，白帽小哥最终发现绕过方法。 首先进入用户管理： 接着点击用户设置按钮： 然后 ………………………………