有个系统的登录是通过 ajax 返回的数据值。然后判断参数验证权限的。
我在想如果系统服务端没控制权限的话 仅仅只是客户端通过登陆一次的返回值来控制页面跳转和显示内容的话。 我是不是就可以修改登陆时的返回数据包 然后伪装成服务端返回值 从而入侵系统呢?
PS: 这是我们公司自己的维护系统。。
只不过请了安全评测的公司来做测试被爆出漏洞。
我想重现下漏洞是怎么发现和被进攻的 好向老爷交差,我不是想做坏事啊 5555
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.