Web安全:某商城MySQL平行越权漏洞

0x00平行越权漏洞介绍:

相信很多商城都存在平行越权漏洞,该漏洞主要的原因是未对相关语句进行过滤。

图片[1]-Web安全:某商城MySQL平行越权漏洞-GOdou社区

0x01漏洞一

解析:在注册某商城的时候,注册验证码直接可以通过审查元素查看到user_code的验证码

0x02

在修改收货地址的时候,使用Burpsuite渗透工具进行抓包,查看到了,数据库表的address;id号在通过修改id号可以随机查看到别的用户收货地址信息。

主要原因是由于程序员在写代码时,在“传入”的时候未做过滤,导致可以直接查看到数据库表中addressd的id号。

图片[2]-Web安全:某商城MySQL平行越权漏洞-GOdou社区
© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容