【网络安全 | 漏洞挖掘】逻辑漏洞+无限制爆破实现业务瘫痪
未经许可,不得转载。
文章目录
-
- 前言
- 正文
前言
目标:target.com,是一个为设计团队服务的工作平台。
该程序允许用户创建账户并组建团队,指定的领导者担任管理员。团队类型包括:
1、免费团队:限于一个项目,最多三份文件。
2、学生团队:项目和文件无限制,学生可免费获得。
3、专业团队:与学生团队相似,无项目或文件限制。
团队中的权限如下:
1、管理员:具有全面的团队管理权限。
2、编辑者:可以编辑项目,但不能管理团队设置。
3、查看者:仅限只读访问。
正文
一开始,我创建了一个账户并登录,决定创建一个团队。系统展示了我可以创建的团队类型。我了解了团队类型及其权限,如上所述。我创建了一个免费团队,这让我只能创建一个包含三个文件的项目。出于好奇,我想尝试创建第四个文件,看看会发生什么。
我创建了三个文件,当尝试创建第四个文件时,系统提示我需要将团队升级到学生团队或专业团队。我决定升级到学生团队,并拦截请求,以了解请求的详细信息及其工作原理。