500美元权限控制漏洞:低权限用户可在开发者设置中执行受限操作
作者:Abhi Sharma
阅读时间:3分钟 · 2024年1月6日 · 1.1K次阅读
最近,我在测试中发现了一个有趣的漏洞,该漏洞使得支持者能够在开发者设置中执行受限操作,特别是在私有程序中未经适当授权即可调整通知设置。这个问题揭示了一个安全漏洞,即低权限参与者或受限支持者可以尝试操纵应用程序逻辑。
理解目标
ExamNote(BBP的虚拟名称)是一个综合性平台,旨在通过为现代发卡机构处理和程序管理提供一体化解决方案来优先满足客户需求。它使企业能够有效构建和推出新的收入流,为企业及其客户提供无缝体验。
在此背景下,发现的这个允许在开发者设置中执行未授权操作的漏洞构成了潜在风险。
漏洞详情
我在ExamNote中发现的这个漏洞是一个缺陷,它使得支持者或低权限参与者能够在开发者设置中执行受限操作。具体来说,它允许用户在未经必要权限的情况下更改通知设置。
这个问题之所以重要,是因为具有较低权限的用户(如支持者)可以尝试操纵...
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
![[GenAI] 重新认识Agent](http://pic.xiahunao.cn/[GenAI] 重新认识Agent)
![[note] 网络流入门](http://pic.xiahunao.cn/[note] 网络流入门)
