凯宾斯基

摘要： 某APP客户端可以劫持任意账号 双师: 上课的学生上报学生上课状态，请求中带学生自己的id，当切换成其他学生的id ，接口报错，应该会校验token 和 提交的学生id 是否一致 阅读全文

摘要： 测试原理和方法 找回密码逻辑漏洞测试中也会遇到参数不可控的情况，比如要修改的用户名或者绑定 的手机号无法在提交参数时修改，服务端通过读取当前session会话来判断要修改密码的账 号，这种情况下能否对Session中的内容做修改以达到任意密码重置的目的呢? 在某网站中的找回密码功能中，业务逻辑是:由 阅读全文