# 安天追影威脅分析系統越權訪問漏洞/zh-hant
==漏洞描述==
通過修改返回包內容,可以繞過驗證,直接登陸系統,可以查看到部分敏感信息.
==POC==
訪問威脅分析系統,抓包一條”/api/user/islogin”的請求,返回包的內容為:
{"role": "", "login_status": false, "result": "ok"}
把請求中的 login_status 改為 true
再次訪問首頁成功進入頁面
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容