某政务平台存在越权查看他人办件信息

2023年11月8日

实战渗透测试

本次测试全部在本地或授权环境中进行，内容仅用于学习、技术参考与交流讨论。严禁将本文所述方法或技术用于任何非法用途。

文中提及的所有漏洞均已上报并完成修复。若读者进行类似测试，务必确保所有操作在合法、合规且获得授权的前提下进行。

如有读者因使用本文内容从事危害网络安全的行为，相关后果由其自行承担，原作者不承担任何责任。

本文为原创内容，未经授权，禁止任何形式的转载、复制或引用。如需使用，请联系作者获取授权。

无图，厚码 1.打开burpsuite查看数据包，发现存在办件编号，参数为tsk xxx.xxx.gov.cn/api/xxx/xx/tsk/************0000000001 怀疑没有做权限校验

2.修改tsk的数值试一下，修改为************0000000002 可以查看返回包内返回其他自然人的数据，包括姓名，身份证号码，手机号。

3.再修改为************0000000003 依然返回其他自然人的数据，包括姓名，身份证号码，手机号。