记一次意外越权漏洞挖掘
本来是在挖SRC资产结果一下没注意打偏了...于是就出来了这个漏洞,当个学习思路吧(简单)
一、前言:
意外漏洞测试,小思路学习。
各位师傅对于这个小程序有什么思路吗???
二、漏洞测试:
A、在“今日用户排行”榜中 随意选择一个用户,对其抓包:
获取该用户的user_id值
B、可以发现一个很明显的功能,“我的统计”
C、最下方有个:“导出步数”功能,将user_id替换为其他用户的即可查看其它用户的数据(可对日期筛选);
下载内容:
三、小总结:
一次偶然SRC挖掘,打偏了...就有了这个意外洞,当然也存在其它漏洞,后续...没测了。