声明:由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢!
水平越权漏洞分析风险分析:
然后点击删除
抓包查看
可切换路径末id来删除别人的文件
删除成功
注意根据上传后的返回包显示,可发现存储桶
访问可获得大量id以及信息
得到所有id后可进行大规模下载
https:/xxxx.com/api/v-node/v1/public/file/663e30457c/downloadOriFile安全建议
技术交流群请加下发微信(需要doc版本的加下方wx或后台回复"0903")
