某充电桩小程序后台接管&越权修改他人信息以及密码（可遍历）

前言

本次测试属于公益类型的 SRC

弱口令

抓包搜集域名信息发现有后台

弱口令直接登录成功

越权

在编辑资料这一块

抓包发现后端是根据 id 参数来进行修改的，与 uuid 无关

在别的接口中发现有通过 uuid 来获取 id 的

开小号修改 id 为小号的，测试存在越权漏洞，并且 id 可遍历

其中小号的任何信息都可以被修改，不限于用户名、手机号、密码等等