某政务平台存在越权查看他人办件信息
无图,厚码
1.打开burpsuite查看数据包,发现存在办件编号,参数为tsk
xxx.xxx.gov.cn/api/xxx/xx/tsk/************0000000001
怀疑没有做权限校验
2.修改tsk的数值试一下,修改为************0000000002
可以查看返回包内返回其他自然人的数据,包括姓名,身份证号码,手机号。
3.再修改为************0000000003
依然返回其他自然人的数据,包括姓名,身份证号码,手机号。
免责声明:
本次测试过程完全处于本地或授权环境,仅供学习参考与技术讨论,严禁用于非法途径。文中提及的漏洞均已提交并修复。若读者因此作出任何危害网络安全的行为后果自负,与原作者无关。
未经授权,不得转载