流着眼泪奔跑

摘要： 1.思路 修修改改参数 2.利用 A用户信息 B用户信息 3.防御 越权操作漏洞的发生往往由于系统对当前用户是否有操作目标接口资源未做判断所致.修复该漏洞，应从用户对要操作的目标是否应有操作权限，入手，确保用户只能操作自己的资源。 阅读全文

摘要： 1.思路 查找一些跳转的页面,比如从退出页面,登录页面. 2.利用 https://url/signout?returnUrl=https://www.baidu.com 3.防御 (1) 代码固定跳转地址，不让用户控制变量 (2)跳转目标地址采用白名单映射机制 (3)合理充分的校验校验跳转的目标地 阅读全文

摘要： 1.思路: 邮箱轰炸和短信轰炸思路是一样的,没有做相应的限制. 2.利用: 3.防御: 建议对此处的短信发送进行时间限制。 阅读全文