图虫网几个跨权限BUG及修复 - 网站安全 - 自学p

http://tuchong.tuchong测试数据/2894994/ 来测试寻找: data-note-id="2532245" 类似 http://tuchong.tuchong测试数据/api/comment/delete/ POST发送 note_id%5B%5D=2532245 删除了恩。 HdhCmsTest2cto测试数据 http://tuchong测试数据/messages/211/ 211为ID查看任意别人对话。 http://tuchong测试数据/messages/203/ 还能评论修复方案： sql查询id,返回数据和SESSION比较然后:if($reslse['name'] !== $_SESSION['name']){ exit('参数错误!'); }

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did13692

更新时间：2022-09-13 阅读：53次