授权系统的马戏团：安全漏洞的滑稽表演 🤡🎪

你知道那种去马戏团时发现安全检查员竟然是小丑的感觉吗？没错，这就是我上个月的经历，只不过场景换成了公司的授权系统，掉落的不是铁砧，而是崩溃的访问控制。他们的安全简直是一场三环灾难，我差点以为会看到大象一边走钢丝一边耍弄管理员权限。🐘

我正在测试"CircusTech"公司，他们声称拥有"坚如磐石的授权"和"军用级访问控制"。但实际上他们的安全更像是"小丑车安全"，只要稍微扭动一下，任何人都能挤进管理员座位。

🎟️ 第一幕：发放后台通行证的售票亭

完成常规侦察后（我已经开始为subfinder起立鼓掌），我找到了CircusTech的API。我拥有一个基本用户账户，权限极其有限，几乎连个人资料都无法修改…

这篇文章详细介绍了作者如何通过JavaScript中的eval函数漏洞获得系统控制权，展示了授权系统中存在的严重安全缺陷。

继续阅读需要Medium会员权限 如果您是Medium新用户，可以创建新账户继续阅读本文