摘要:
1.越权漏洞 使用postman模拟请求时,对于一些请求参数做修改从而获取到不是登录用户权限所能获取得到的数据。例如:总机构可以查询到所有机构的用户信息,分机构只能查询到所在机构的用户信息,但是通过使用分机构登录的sessionid与接口修改其中机构的参数,改为总机构的就可以获取到所有机构的用户信息 阅读全文
摘要:
1.HttpServletRequest 流数据不可重复读的原因 HttpServletRequest 的request.getInputStream()只可以读取一次参数,由于 InputStream 这个流数据的特殊性,在 Java 中读取 InputStream 数据时,内部是通过一个指针的移 阅读全文