damicms_5.4支付逻辑漏洞

2023-12-29 17:31:53

漏洞描述:

逻辑越权漏洞就是当用户跳过自己的权限限制,去操作同等级用户或者上级用户。正常的情况下,当一个用户去访问某个资源的时候,首先需要去登录验证自己的权限,其次是对数据的查询,最后返回数据内容。

但是如果在权限验证这里,出现了验证不足或者根本就没有验证,那么就会导致越权漏洞的出现。并且逻辑越权又分为水平越权和垂直越权。

复现过程:

1.访问ip:port

2.注册账号登录

3.进入产品展示页面,随机选择一个

4.加入购物车,选择地址和站内扣款,开启burp抓包,点击提交订单

5.将qty值修改为-1,放包

6.查看订单

7.查看余额

文章来源:https://blog.csdn.net/m0_65150886/article/details/135292297
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。