挂号网又一处越权可修改他人信息

这次是出在就诊人管理。

可以修改就诊人部分信息。

在就诊人信息保存的时候会传递两个主要参数,一个patient_id和user_id

patient_id应该是控制就诊人信息的

user_id是用户信息,一个用户可以添加多个就诊人信息。

保存的时候,修改patient_id参数,可以修改任意就诊人部分可修改信息。

用户1:

挂号网又一处越权可修改他人信息

用户2:

挂号网又一处越权可修改他人信息

用户1的patient_id和user_id:

挂号网又一处越权可修改他人信息

用户2的patient_id和user_id:

挂号网又一处越权可修改他人信息

修改用户1的可修改信息部分,然后保存并用Fiddler截取。

挂号网又一处越权可修改他人信息

这时候看用户1的信息是被修改了,但是刷新之后,就变回原来的信息了。

挂号网又一处越权可修改他人信息

用户2的信息,被修改了

挂号网又一处越权可修改他人信息

修复方案:

权限控制

分类:默认分类 时间:2015-03-02 人气:1
本文关键词:
分享到:

相关文章

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.074 (s). 9 q(s)