SRC挖掘思路（十一）

文章首发于" 火柴人安全团队"，未经授权，禁止转载（如发现抄袭本文，欢迎举报，联系黑子黑，将获取奖励！）

本文来自真实的挖掘过程，所以内容是尽可能厚码再厚码！

感谢火柴人安全团队成员pigLin师傅的投稿，另外有兴趣投稿的师傅也可以联系我，微信号：bgbing-src 会给合适的稿费，还会额外送礼品（比如现在端午，会送端午礼盒，粽子等）

URL跳转

URL跳转漏洞是未对将发生跳转的URL进行校验，致使用户跳转到恶意域名。
在挖掘过程中可能常注意在访问后直接跳转到指定的URL，但是，URL不局限于此，当用户访问后，存在用户输入的位置，如登录后，然后会发生恶意跳转，此时也是属于URL跳转，如下：

修改为：

http://xxx.com/ucenter/userlogin?platform=saas&redirect_url=https://xxx.com%40baidu.com/


当输入账号密码，登录后，能够跳转到baidu（登录的后端接口/api/login跟前端接口/ucenter/userlogin不一样是正常的）。

如果在登录类的地方存在URL跳转，可能会携带认证信息（如上图，跳转会携带认证信息STOKEN），这时候通过验证该token是否是用来鉴别用户的身份的，如果是，则审核可能会给你提高分数。
如下，通过替换获取到的token，直接替换，能够看到该用户的信息。

越权

越权，可以分为水平越权和垂直越权，是由于系统未做好权限校验，致使用户能够横向删读写其他用户的信息，或垂直到管理员或自身不应该存在的权限操作。
如下，存在知识库的位置，增加知识库内容

通过响应包，拼接具体某个知识库的链接。

https://xxx.com/v1/tenants/102/knowledge/entries/html/61

打开后就能看到此知识库内容。

然后注册另一个账号，相同操作后，得到新的知识库链接如下：

https://xxx.com/v1/tenants/103/knowledge/entries/html/62

通过分析这两个链接，发现存在两处变化，前面的数字代表用户id，后面的数字代表知识库的id。
因此，可以通过不断遍历这两个参数，就能遍历出所有用户的知识库（用户id和知识库id都是不断叠加的）
例如：通过遍历用户id，得到寻找知识库id为59的。

火柴人安全团队招人，主要冲src

小小门槛：2022年提交过一个有效漏洞（企业src），并且审核通过，满足的话，加微信号：bgbing-src  给我简历即可

加入团队的好处：经常冲src，活跃度高的话，会送礼品，额外现金奖励，团建，线下面基这些，也会给团队直播挖src一些思路，互相交流技术，一起冲src，一起进步！

本文是火柴人安全团队成员pigLin师傅的投稿，火柴人安全团队拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。