授权马戏团：安全是主要小丑 🤡🎪

你知道那种去马戏团时发现安全检查员实际上是小丑之一的感觉吗？是的，那就是上个月的我，只不过不是马戏团，而是一家公司的授权系统，不是掉落的铁砧，而是我发现的掉落访问控制。他们的安全是如此的三环灾难，我几乎期望看到大象在走钢丝时还要耍弄管理员权限。🐘

我正在测试"CircusTech"公司，这家公司声称拥有"坚如磐石的授权"和"军事级别的访问控制"。他们实际拥有的更像是"小丑车安全"，只要稍微扭动一下，每个人都能挤进管理员座位。

⚔️ 不安全的Eval = 无限控制：JS漏洞如何让我运行任何代码 💻💥

第一幕：给所有人后台通行证的售票亭 🎟️

在我完成常规侦察后（我已经开始为subfinder起立鼓掌），我找到了CircusTech的API。我有一个基本用户账户，权限如此有限，我几乎无法更改我的个人资料…

创建账户以阅读完整故事。作者仅向Medium会员提供此故事。如果你是Medium的新用户，请创建一个新账户来阅读这个故事。