这个是普通用户的越权,还有考生和单位用户的没测,其实通过注册功能已经知道了单位用户中有个admin账号,但是没办法搞到注册用的单位信息,就没测试,应该也存在越权,但是毕竟是gov算了算了,苟命要紧
打开网站后注册两个账号 lvlang/lvlang1 lvlang1/lvlang1
进入个人信息界面修改密码
新密码输入lvlang2,点击提交,抓包,将lvlang改为lvlang1之后放掉这个包。去登录lvlang1
输入原先的密码
显示密码错误,输入修改后的密码
成功登录
若有收获,就点个赞吧
0 人点赞
