文章出處

說實話這個地方真的有點奇葩。

1、注冊賬號,登錄:
 

屏幕快照 2016-01-07 下午11.51.14.png





2、任意選擇一個商品,一直進入到訂單確認處:
 

屏幕快照 2016-01-07 下午11.58.46.png




 

屏幕快照 2016-01-07 下午11.59.40.png




 

屏幕快照 2016-01-08 上午12.00.18.png





3、越權點出現,點擊添加新地址:
 

屏幕快照 2016-01-08 上午12.02.06.png





4、填寫信息,點擊『確認』:
 

屏幕快照 2016-01-08 上午12.03.38.png





5、這時再次點擊『編輯』,點擊『確認』,抓包:
 

屏幕快照 2016-01-08 上午12.12.03.png





6、去掉『id』與『&_form_token』之間的所有值,并修改id為任意值:
 

屏幕快照 2016-01-08 上午12.13.23.png





7、點擊forward:
 

屏幕快照 2016-01-08 上午12.24.03.png





用戶姓名、電話、住址就這樣出現了



遍歷下,就可以把所有的用戶信息全部出來!

 

屏幕快照 2016-01-08 上午12.39.20.png

 

解決方案:

控制用戶權限,而不僅僅是增加個token。

就愛閱讀www.92to.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20161102/33294.html

文章列表


不含病毒。www.avast.com
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 大師兄 的頭像
    大師兄

    IT工程師數位筆記本

    大師兄 發表在 痞客邦 留言(0) 人氣()