文章总结： 本文记录某陪玩APP渗透测试，发现多处越权漏洞。一是资料接口可遍历ID查看他人信息；二是修改接口逻辑缺陷，可将他人资料克隆至本地；三是语音删除接口存在严重越权，可绕过JWT直接删除任意用户语音。文章详细展示了不安全对象引用漏洞的挖掘过程与业务逻辑缺陷风险。 综合评分： 85 文章分类： 渗透测试,移动安全,WEB安全

观察数据包，发现存在sign和jwt，但是我发现这个签名好像有跟没有一样，不懂他后端咋写的，那么好，我们直接进行一个none空加密算法，发现无果，解析jwt发现是对称加密，那就直接密钥爆破一手，掏出我的jwt_tools猛猛灌入密码。

我擦，几百万的密码一个没出，玩毛直接跑。

接着我继续跟上一样的操作看看有没有新的突破口，发现这些陪玩的妹子都喜欢录制自己的声音放到自己的个人主页上，那么我尝试去他们的个人主页删除语音试试，抓包音频删除功能，发现数据包仍然有jwt的鉴权，但这次我删除之后不会跳转到我的账户上，结果语音没了，有点逆天了，数据包存在jwt请求却能越权删除语音，但其他的个性签名和照片的地方删除了就会弹回我的账号，不能越权。

后续我再上线app，发现陪玩妹子又重新录制了不同的语音，那看来这块确实存在越权，只能说奇葩。。。

各位师傅觉得文章有意思，记得设置为星标哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜子安全Sec 夜子 夜子《某项目APP的奇葩越权》