| Title | codeprojects human resource management 1.0.1 unauthorized access |
|---|
| Description | pbrong/hrms HRms-1.0.1 \handler\account.go 文件中存在对首页的未授权访问。
该漏洞是由于系统访问页面时的权限验证存在缺陷,导致攻击者通过构建 cookie 来获取登录信息,从而绕过权限验证。
分析:
在查看界面访问首页时,界面首先判断 Cookie 中是否有 user_cookie 参数,然后通过 '' 切分提取对应的 'user',然后将值分配给 'index.html'。需要注意的是,'userName' 需要 base64 解码。 |
|---|
| Source | ⚠️ https://github.com/38279/1/issues/1 |
|---|
| User | hnsjwaxxjsyxgs (UID 75599) |
|---|
| Submission | 03/10/2025 09:38 (1 Year ago) |
|---|
| Moderation | 03/21/2025 07:38 (11 days later) |
|---|
| Status | Accepted |
|---|
| VulDB entry | 300569 [code-projects Human Resource Management System 1.0.1 \handler\Account.go Index user_cookie improper authorization] |
|---|
| Points | 20 |
|---|