当前位置: 首页 > article >正文

【网络安全】IDOR之敏感数据泄露

article 2024/11/15 11:20:25

未经许可,不得转载。

文章目录

      • 正文

正文

在测试“添加到收藏夹”功能时,我拦截了发送到服务器的请求,请求体如下:

{
  “uriTemplate”:“asset/{assetId}/favorite”,
  “version”:“v2”,
  “type”:“POST”,
  “req_service”:“pict”,
  “url”:“asset/VICTIM'S_ASSETID/favorite?favorite=true”
   }

其中, assetId 参数的值为我图像的Id,我将该值更改为其他用户图像的参数值,发包后,成功将受害者的图像添加到我的收藏夹相册中。

在这里插入图片描述

这表明系统在处理“添加到收藏夹”请求时,未对 assetId 参数进行适当的访问控制或权限检查,从而允许未授权的操作。


http://www.kler.cn/a/289555.html

相关文章:

  • 深入探索:Scrapy深度爬取策略与实践
  • C++ 的协程
  • 【MySQL 保姆级教学】事务的隔离级别(详细)--下(13)
  • 容器技术在DevOps中的应用
  • TortoiseSVN提示服务器凭证检核错误:站点名称不符
  • ubuntu中apt-get的默认安装路径。安装、卸载以及查看的方法总结
  • 果浆产业的自动化、智能化离不开机器视觉的发展
  • Lua:条件断点
  • 第140天:内网安全-横向移动局域网ARP欺骗DNS劫持钓鱼中间人单双向
  • 【Xcode】Xcode基本使用指引
  • c++ for (const auto info : prerequisites) 解释这个语句中每个单词的含义
  • 【数据结构篇】~链表算法题2
  • 开发指南058-JPA多数据源
  • 项目经理成长路径
  • java中数据访问层userdao接口怎么写
  • Apache DolphinScheduler项目与社区7-8月发展报告
  • 冲击大厂算法面试=>链表专题【链表反转之局部反转升级版】
  • 1、正则表达式
  • C++ | Leetcode C++题解之第394题字符串解码
  • Elasticsearch检索原理
  • 2024.9.2 作业
  • Loadrunner12录制时,目标网站打不开的解决办法
  • 光敏电阻传感器详解(STM32)
  • redis之地理空间geo实战以及选项详解
  • Recyclerview部分列固定部分列滑动学习备忘
  • linux 下转化 ppk 文件 为openssh 文件(private,public)