你似雾

摘要： 该系统仅允许注册社工账号，此账号权限极低，无法查看任何信息，尝试通过不安全的对象直接引用漏洞来获取高权限账号。 1.首先判断出，社工与区管理员登录时用户名识别的参数存在什么不同 经抓包对比测试得知，社工账户和区管理员账户userInfoBean.userType的参数不同，社工账户：userInfo 阅读全文