前后端分离开发,前端显示的权限校验放在本地浏览器或者后台请求接口返回中。
所以我们从请求拦截上入手。
这里可以准备一个ajax请求拦截插件。
我这里使用的是ajax inteceptor
谷歌地址:https://chrome.google.com/webstore/detail/nhpjggchkhnlbgdfcbgpdpkifemomkpg
安装后,首先我们查看普通用户和管理用户区别:
这里只显示区别字段:
管理用户在返回中如:(部分数据)
"user": {
"user_id": "XXXX",
"user_type": 11, ---这里为用户类型 从字段也可以看出来
}
普通用户user_type为12
我们控制筛选出查询用户相关数据的接口
然后将这些接口和返回数据贴在我们使用的ajax-inceptor 插件上进行接口拦截
我们的数据 user_type也改成11
一般后台管理都是 admin manage 等字眼。Pico后台管理就是admin。一般过程尝试后如果都是404可以用工具扫描网站后台目录!
通过判定后台管理地址确实是 /admin
https://bbs.picovr.com/admin/
这个时候我们打开已经设置好的插件进行拦截
然后 清空缓存并重新加载。这个时候你就看到了后台管理的界面如图:
当然,只能查看部分数据。
针对特别关键的操作,只通过伪装本地数据是无法跳过的。这个得给Pico后台开发人员点个赞!(虽然在新版本刚开始很多bug)
做好关键性操作的后台校验是必要的也是必须的。不然不能称为一个合格的开发者!
本文章仅供对论坛安全性测试使用!不包含有目的的渗透行为!
希望论坛越来越稳定且无BUG和漏洞!
原文链接:【VR游戏网】https://vr.lxybaike.com/blog/8248.html,转载请注明出处。
请先 !