赞
踩
https://github.com/spkiddai/PythonTools/tree/master/BladeScan
由于部分网站存在接口base重写,支持自定义接口BaseUrl测试:
由于接口权限限制宽松,导致/api/blade-log/api/list接口存在两种问题。
1.未授权问题:无需登录即可访问
未登录情况下直接访问接口,获取登录账户信息
2.权限限制不严格问题:登录低权限用户即可访问获取管理员账户密码
使用低权限人事账户登录官网演示站:
访问/api/blade-log/api/list接口查看admin用户密码信息:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。