EPSS
Percentile
40.7%
1 用户1属于组织team1,并不属于team2
2 用户1修改自己的profile
3 在界面上,用户1修改自己的组织时只能看到team1
4 但是我们用burpsuite拦截请求,将请求中的team1的ID换成team2
5 继续执行,发现可以执行成功
6 原因是虽然我们在界面上保证了team2不可见,但服务端没检查user1是否可以选择team2
复现视频:https://1drv.ms/v/s!Avwg5C1eKVA4girUgKWl9SQX543P?e=N1ZU47