家长用户在学生的个人资料中有一些联系信息。但是,他们无法编辑所有这些信息,他们的权限只能编辑某些特定的字段。 例如姓名和地址等信息,但是当我们单击编辑按钮时,只能更改联系人字段。当我以这种方式发送请求时,我遇到了以下 PUT 请求。如图所示,还有其他字段无法更改如名称、地址等。同样我更改了一些信息,例如姓名、地址和关系并发送了请求。此处我们可以看到所有更改成功提交并且显示界面也发生了变化
3
越权添加家长信息
家长用户只能编辑自己的信息,他们无法添加新的父联系人字段。 但当我发送编辑联系人表的请求时,更改参数中的所有 ID 值,就能够创建新的联系人表。图片中的请求与第二个报告中的 PUT 请求相同。如图所示,该请求具有许多不同的 ID 值,我用随机值替换了所有 ID 值的最后一位数字。 其实本来是想测试系统会如何处理我这样的更改,预想可能会得到500或者403的回显,但是程序给我创建了一个新的联系人