我发现了齐鲁软件大赛系统的漏洞
我发现了齐鲁软件大赛系统的漏洞
事情起因是这样的:
本来我计划今天处理齐软提交作品的事情,然而知乎真是好看……
等我想起了这回事,提交信息后,先弹出修改成功提示,然后告诉我没有登录。
what?没有登录但修改成功了?
吓得我感觉登进去,可不就是我刚刚填写的资料嘛。
为了排除在线编辑器本地保存重新加载的可能,我祭出curl。
然后再次登进去
嗯,没得洗了。直接修改数据的接口竟然不做登录验证。万一我写个循环这不就几乎删库了。
不过我是谁?我是正直的好青年,我当然选择把bug上交国家,不对,是告诉厂家,不对怎么说来着……算了,就是这个意思。
目前这个bug已经修复了,可惜也不能凭借发现这么严重漏洞直接拿个奖……
最后修改于 2019-01-03