来源:自学PHP网 时间:2015-04-17 10:15 作者: 阅读:次
[导读] mall.autohome.com.cn可任意修改、删除用户的信息,如个人收货信息;1.使用两个用户分别添加一条收货信息如下(可根据浏览器区分);2.获取其中一个用户的收货信息id值;3.使用另一个用...
|
mall.autohome.com.cn可任意修改、删除用户的信息,如个人收货信息;
1.使用两个用户分别添加一条收货信息如下(可根据浏览器区分);
  2.获取其中一个用户的收货信息id值;
 3.使用另一个用户修改收货信息,修改内容如下;
 4.点击保存并抓包,修改id值为第一个用户的“87337”并提交;
 5.返回页面刷新,发现id为87337的信息被成功修改;
 6.我们发现删除用户的收货信息直接是一个get请求如下;
 7.我们将上面的addid值修改为“87337”提交,成功删除了该用户的收货信息;
 PS:恶意的攻击者可直接使用burpsuite之类的工具,不断提交请求,即可删除所有用户的收货信息!!当然也可以更改所有用户的收货信息!!
修复方案:
1.过滤敏感字符; 2.严格校验用户身份合法性;
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
