关键漏洞信息 漏洞描述 漏洞类型: 水平越权 受影响版本: Admintwo 1.0 漏洞详情: 接口存在水平权限提升漏洞。攻击者可以通过修改 参数非法修改其他用户的信息,系统未验证请求者的权限和目标账户的所有权关系。 漏洞代码分析 相关类文件: 关键方法: 问题点: 使用 作为身份标识符更新数据时,未验证当前用户信息与传递的 是否一致。 触发漏洞的步骤 1. 设置用户信息: 修改用户信息并执行 方法。 2. 发送请求: 通过 HTTP POST 请求触发漏洞。 3. 数据包示例: 漏洞验证 返回结果: 返回 并检查数据库中的数据。 数据库记录: 修改成功,显示新的用户信息已更新。