频道栏目
首页 > 安全 > 网站安全 > 正文

爱丽网的一个没有什么人用的功能平行权限漏洞

2013-07-11 08:54:49            作者:小川
收藏   我要投稿
注册两个账户

 

USERA登入系统后随便收藏几个妹子的图片。在个人首页里点击图片收藏里的更多,即可查看到自己收藏的妹子,如下图:

鼠标放到图片上就会有删除的按钮,我们截获下删除按钮的请求,如下:

 

 

id即是对应的收藏图片的参数,我们记一下以上两张图片的id参数值分别是:1649,1650

 

不要把请求发过去,刷新下页面,确保图片没有删除。

 

USERA可以退出了,

 

 

 

USEB登入系统,随便收藏个图片截获下删除图片的请求如下:

 

 

把id分别值替换成刚才USERA记录的1649,1650,发送过去。好了USERB的任务完成

 

USERA登入系统后查看下收藏的妹子都被删了

 

 

要想删除所有的用户收藏的图片即可不断发送请求

 

id=1

 

id=2

 

.

 

.

 

.

 

id=1700

 

 

 

才1600多数据,估计这功能也没什么人用。

 

 

 

文章收藏同理,不再证明。 

 

 

修复方案:

进行权限认证 

 

上一篇:360手机商店鸡肋洞:可以上传任意格式文件
下一篇:畅图网逻辑设计缺陷导致可修改任意用户密码及修复
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站