当前位置: 首页 > news >正文

【网络安全】缓存配置错误导致授权绕过

news 2025/11/22 8:37:36

未经许可,不得转载。

文章目录

    • 正文
    • 复现

正文

一个电子商务网站,它有 2 个资产:target.comadmin.target.com

target.com是面向用户的门户,用户可以去那里购买物品。admin.target.com是卖家的管理门户,卖家可以在其中列出他们的物品,跟踪订单、客户信息等。

我正在测试 IDOR 和访问控制,通常使用 Autorize 进行测试。

img

target.com 的普通用户 cookie 放入 Autorize 后,我在 admin.target.com 触发功能点来检查普通用户是否可以访问管理员端点。

我发现,每次我访问端点:https://admin.target.com/orders 时,浏览器都会发出以下 GraphQL 请求:

POST /graphql
H

http://www.mrgr.cn/news/10607.html

相关文章:

  • 基础训练 (待补充)
  • Java版工程行业管理系统源码-专业的工程管理软件- 工程项目各模块及其功能点清单
  • 【学习笔记】Day 22
  • 远程在电脑上玩PS5《黑神话:悟空》?借助极空间实现PS5远程串流攻略
  • 【nextjs strapi】如何统一封装 fetch 请求
  • 查找算法刷题【哈希表算法】
  • 6-1 STM32F405--DAC输出(软件触发)
  • 面试题Java版(含大厂校招面试题)
  • Java中的单例模式
  • zookeeper 集群搭建 及启动关闭脚本
  • Python OpenCV 影像处理:影像轮廓
  • LlamaIndex 实现 RAG(四)- RAG 跟踪监控
  • 数据流中的中位数
  • HTTPS
  • gewe微信聊天机器人搭建教程
  • 回归预测|基于北方苍鹰优化NGO-Transformer-GRU组合模型的数据预测Matlab程序多特征输入单输出
  • QT-五子棋游戏
  • 行业级API集成案例,巩固你的知识
  • 数智飞跃:EC金蝶一键联动,业务飙升新境界!
  • Oracle RAC 修改系统时区避坑指南(深挖篇)