500美元权限控制漏洞:低权限用户可在开发者设置中执行受限操作
作者:Abhi Sharma 阅读时间:3分钟 · 2024年1月6日 · 1.1K次阅读
最近,我在测试中发现了一个有趣的漏洞,该漏洞使得支持者能够在开发者设置中执行受限操作,特别是在私有程序中未经适当授权即可调整通知设置。这个问题揭示了一个安全漏洞,即低权限参与者或受限支持者可以尝试操纵应用程序逻辑。
理解目标
ExamNote(BBP的虚拟名称)是一个综合性平台,旨在通过为现代发卡机构处理和程序管理提供一体化解决方案来优先满足客户需求。它使企业能够有效构建和推出新的收入流,为企业及其客户提供无缝体验。
在此背景下,发现的这个允许在开发者设置中执行未授权操作的漏洞构成了潜在风险。
漏洞详情
我在ExamNote中发现的这个漏洞是一个缺陷,它使得支持者或低权限参与者能够在开发者设置中执行受限操作。具体来说,它允许用户在未经必要权限的情况下更改通知设置。
这个问题之所以重要,是因为具有较低权限的用户(如支持者)可以尝试操纵...
