专栏名称: 黑白之道

黑白之道，普及网络安全知识！

我也要提交微信公众号

今天看啥

微信公众号rss订阅, 微信rss, 稳定的RSS源

微信公众号RSS订阅方法

B站投稿RSS订阅方法

雪球动态RSS订阅方法

微博RSS订阅方法

微博搜索关键词订阅方法

豆瓣日记 RSS订阅方法

相关文章推荐

说财猫 · 高管常“失联”的新华保险，疯狂接盘万达 · 昨天

安天集团 · 安天入选2024年度网络安全服务代表性厂商 · 4 天前

奇果酱 · iOS 18 / 17.7 ... · 5 天前

题材挖掘君 · 华为鸿蒙甄选，这些核心标的公司跟踪好（精选名单） · 6 天前

FreeBuf · PingCastle：一款针对活动目录AD的 ... · 1 周前

今天看啥 › 专栏 › 黑白之道

记某src通过越权拿下高危漏洞

黑白之道 · 公众号 · 互联网安全 · 2024-09-25 10:56

文章预览

来源：先知社区，作者：小*咔原文： https://xz.aliyun.com/t/14493 现在只对常读和星标的公众号才展示大图推送，建议大家把黑白之道 “ 设为星标 ”，否则可能看不到了！在挖掘某SRC时，遇到了一个社区网站，社区站点是我在挖掘SRC时比较愿意遇到的，因为它们可探索的内容是较多的，幸运地，通过两个接口构造参数可进行越权，从而获得整个网站用户的信息。图片以进行脱敏处理。在登录网站后，查看产生的数据包，发现了一个特定的API接口：/gateway/nuims/nuims?Action=GetUser 通过返回包的内容判断该接口用于获取当前用户的登录信息，包括用户名（UserName）、加密后的密码（Password）、绑定的邮箱信息、绑定的电话信息以及用户的IP地址等敏感数据。此时看到返回包的信息十分激动，这接口要是能越权，就可以看到这个站点其他用户的个人信息了， ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博

推荐文章

说财猫 · 高管常“失联”的新华保险，疯狂接盘万达

昨天

说财猫 · 高管常“失联”的新华保险，疯狂接盘万达

昨天

安天集团 · 安天入选2024年度网络安全服务代表性厂商

4 天前

奇果酱 · iOS 18 / 17.7 续航测试出炉，这功能被限制

5 天前

奇果酱 · iOS 18 / 17.7 续航测试出炉，这功能被限制

5 天前

题材挖掘君 · 华为鸿蒙甄选，这些核心标的公司跟踪好（精选名单）

6 天前

题材挖掘君 · 华为鸿蒙甄选，这些核心标的公司跟踪好（精选名单）

6 天前

FreeBuf · PingCastle：一款针对活动目录AD的安全强化工具

1 周前

开平广播电视台 · 快看开平好“丰”景！

1 周前