一、漏洞的存在
某些网站服务端存在权限校验漏洞,使得前端可以随意提交任何表单信息。
二、漏洞演示
1、以下是某网站表单信息。对于普通用户是无法提交表单信息的,该网站仅仅隐藏了提交按钮,但内容仍可编辑。
可以通过尝试直接在浏览器的html中加入<button type='submit'>来提交。如何该网站服务端没有设置相应提交权限,则会修改成功。
2、以下是另一个网站的提交页面,普通用户无法对年龄进行修改,但可以尝试直接在浏览器的html中加入input标签并正确设置id和name进行提交。如果服务端权限校验存在漏洞的话,则会修改成功。