内容简介：

记录一个 Java 系统的漏洞挖掘，系统的主要的问题是没有做越权防护，其他漏洞暂时没有挖到，有点菜，先记录着吧，每天进步一点，总会变强的。
系统介绍
系统是一个 Java 写的自动化测试系统，不同角色之间做不同的事情，领导申请任务，审核同意，领导把任务派发给下属，下属执行测试任务，同时也有一些下载报告，上传文件之类的操作，但是由于国光我比较菜，这些功能点并没有挖到什么漏洞，所以这里就不再赘述了。
系统本身需要登录才可以进去使用，使用的是统一认证的登录界面，登录成功然后跳转到对应系统的，所以这里给了测试账号来进行测试，下面是本次测试所使用的 3 个测试账号信息：

为了保证客户系统的安全性，这些...

查看原文

? 实战|记录一次某客户系统的漏洞挖掘