实战纪实 | 某米企业src未授权访问

请添加图片描述本文由掌控安全学院 - 一呼投稿

某米企业src漏洞挖掘

这一挖就挖到了一个未授权操作漏洞,写个文章记录下~~

通过信息收集,发现这么一个资产。
访问 http://xxx.com 如下图所示

1.点击头像-点击授权登录实战纪实 | 某米企业src未授权访问_第1张图片2.然后发现可删除大量授权的用户信息,总计全部1292条,最新时间实时更新
实战纪实 | 某米企业src未授权访问_第2张图片发现可删除内部数据
实战纪实 | 某米企业src未授权访问_第3张图片
3.可授权所有用户登录实战纪实 | 某米企业src未授权访问_第4张图片
实战纪实 | 某米企业src未授权访问_第5张图片

                没看够~?欢迎关注!

实战纪实 | 某米企业src未授权访问_第6张图片
实战纪实 | 某米企业src未授权访问_第7张图片

你可能感兴趣的:(实纪实战,网络安全,安全,web安全,计算机网络)