一次绕过前端限制进入后台

tx1 · 发表于 2016-4-7 22:09:42

没什么技术含量、主要就是分享一下

其实我还有个问题就是这种漏洞要如何修复、小菜只为分享，大牛们勿喷谢谢

我首先是通过爬行找到敏感文件，访问后发现可以直接看到后台登录后的界面，但是发现点击内容会提示登录超时。

通过第一篇文章可以看到网站的目录，这时突然想到是不是采用了js前端验证，于是使用火狐禁止了js，因为之前上传文件有的人会采用js前端验证的，所以就想试一试。
QQ截图20160407215922.png

这时在通过第一张图片的进行点击发现直接跳入后台并且是admin权限

然后我们在找到添加用户的地方加个用户，直接登录。就完全进入后台了

wuyan · 发表于 2016-4-7 22:47:30

继续努力

90_ · 发表于 2016-4-8 09:33:08

js验证的站，现在很少见到了，RP不错啊

zhoujian017 · 发表于 2016-4-11 00:11:13

直接禁用js就可以了

任我狂 · 发表于 2016-4-19 22:22:41

学习了

任我狂 · 发表于 2016-5-19 19:58:21

看看学习下