应用安全-Web安全-越权漏洞整理

1 login->register
2 GetPhone->GetPasswd
3 GetPwd->GetPassword

View Code

遍历
https://xx.com/contacts/new?user_id={userId}
文档中插入html代码-
<iframe src="http://169.254.169.254/latest/meta-data">

登录越权

http://www.xx.cn/Login.aspx

绕过 - http://www.xx.cn/html/

防御

添加有有效期的token值标识，并设置不同的标识权限

【推广】免费学中医，健康全家人

原文地址：https://www.cnblogs.com/AtesetEnginner/p/11208862.html