一.Rest接口权限划分不严
在登陆任意权限的情况下可以查看在库内所有用户的信息以及向oa添加可以指定权限的用户
接口使用参数以及调用方法来自官网文档:
二、信息泄露
https://xxx.xxx.xxx.xxx:9943/mobile_portal/logs/app.log
泄露OA用户信息以及token值可用于直接操作
三、跨站脚本攻击
将content的值替换成xss代码加以大小写变化
1 个赞
差评 没过程直接扔漏洞
这个我是真没法扔过程。。。。
哈哈哈