取消
【高危】fastcdn用户数据库表存在明文,修改用户数据无鉴权限制即可增删改
  • 增删改用户数据缺乏身份验证机制导致未经授权访问,任意客户端可发起POST请求
  • 问题描述: 在增删改用户数据接口发现了一个缺乏身份验证的漏洞,该接口允许未经身份验证的用户进行增删改用户数据,从而导致未经授权的访问和潜在的安全问题。
    复现步骤:

    经测试,直接传参 user password 等用户信息 即可修改用户数据

    影响范围:
    此漏洞可能影响管理员以及其他用户进行恶意修改账号数据,以及系统可能面临的安全风险。
    解决方案:

    • Body:Body 类型 : formdata

    • user admin

    • password admin2

    • money 2

    • email 111111@qq.C++om

    • phone 13131313131

    • name 11

    • sfz 210105101010101011

    • status on

    • 使用任意 HTTP 客户端向接口发送 GET POST 请求,

    • URL事件:/editUser?id=1 注:id=1为管理员数据

    • 在请求中包含以下数据:

  • 强烈建议在添加节点接口中实施适当的身份验证机制,例如Oauth,以防止未经授权的访问!