某政务平台存在越权查看他人办件信息
免责声明:
本次测试过程完全在本地或授权环境中进行,仅供学习、参考与技术讨论使用。严禁将本文中描述的方法和技术用于任何非法途径。
本文中提及的所有漏洞已提交并得到修复。读者如有进行类似测试或其他行为,应确保所有操作均在合法和授权的范围内进行。
若读者因使用本文中的内容而进行任何危害网络安全的行为,后果自负,与原作者无关。
本文为原创内容,未经授权,严禁转载、复制或引用。若需转载或引用,请联系原作者获取授权。
无图,厚码
1.打开burpsuite查看数据包,发现存在办件编号,参数为tsk
xxx.xxx.gov.cn/api/xxx/xx/tsk/************0000000001
怀疑没有做权限校验
2.修改tsk的数值试一下,修改为************0000000002
可以查看返回包内返回其他自然人的数据,包括姓名,身份证号码,手机号。
3.再修改为************0000000003
依然返回其他自然人的数据,包括姓名,身份证号码,手机号。