当前位置: 首页 > wzjs >正文

用jsp做网站主界面百度站长提交网址

wzjs 2025/8/20 2:50:54
用jsp做网站主界面,百度站长提交网址,wordpress 网盘,龙岩任做网站的哪几个比较好本质是信任了不可信的客户端输入。防御核心: 永不信任客户端提交的权限参数(如 user_id, role)。强制服务端校验用户身份与操作权限。定期审计权限模型,避免业务迭代引入新漏洞。 水平越权 1,按照网站的提示要求登录 进…

本质是信任了不可信的客户端输入。防御核心:

  1. 永不信任客户端提交的权限参数(如 user_id, role)。
  2. 强制服务端校验用户身份与操作权限。
  3. 定期审计权限模型,避免业务迭代引入新漏洞。

 

水平越权

1,按照网站的提示要求登录

进入到用户后台点击查看个人信息

进入到这个网站

http://192.168.23.154/06/vul/overpermission/op1/op1_mem.php?username=lucy&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF

发现是url传值查看用户信息,尝试修改成为其他用户

http://192.168.23.154/06/vul/overpermission/op1/op1_mem.php?username=kobe&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF

篡改成功,存在水平越权漏洞

 

垂直越权

1,根据提示有普通用户和超级用户

使用普通用户的账户密码登录,模拟垂直越权

普通用户只有查看权限,超级用户admin则可以增删改查

 

2,删除一个用户,记录URL。并且尝试使用burpsuite抓取cookie 7ipoq13r16f170hokj8dshvkm6

http://192.168.23.154/06/vul/overpermission/op2/op2_admin.php?id=1

然后再抓取添加用户的请求包

username=12345&password=123456&sex=1&phonenum=1&email=1&address=&submit=%E5%88%9B%E5%BB%BA

 

 

http://www.dtcms.com/wzjs/412517.html

相关文章:

  • cdr软件长沙网站seo外包
  • 免费做数学题的网站选择宁波seo优化公司
  • 威海做企业网站的公司厦门seo优化推广
  • 网站代发怎么做推广app拉人头赚钱
  • 做零食网站的原因seo公司北京
  • 做网站的公司搞什么活动营销策划思路及方案
  • 优化网站是什么意思常用的关键词挖掘工具有哪些
  • 90做网站全网模板建站系统
  • 同城型网站开发收录平台
  • 网站开发大概需要多少钱seo课程简介
  • 做违法网站个人网站建站流程
  • 专门做熟妇的网站成都网络营销公司排名
  • 如何抄袭网站视频推广方案模板
  • 互联网网站项目方案书如何自己建一个网站
  • 网站源码在线下载seo网站设计工具
  • 吴志国网站建设工作室seo软件下载
  • bt网站建设sem是什么工作
  • 选服务好的网站建设360网站安全检测
  • 动态网站流程手机优化大师下载安装
  • 做一下网站需要什么时候开始夫唯seo怎么样
  • 懒人凳子网站建设策划书电商平台排行榜前十名
  • 江门网站推广哪里专业深圳知名seo公司
  • 企业做网站要多少钱怎么设计网站
  • 企业自己可以做视频网站吗百度快速提交入口
  • 广州网站建设八爪鱼灵感关键词生成器
  • 网站建设人员要求怎么找需要做推广的公司
  • 免费创建网站关键词推广计划
  • 成全视频免费观看在线看小说武汉seo首页优化报价
  • 凡科网做网站交易链接
  • 做网站什么公司新东方在线教育平台官网