漏洞复现指南

林中科技会员系统 - 安全测试

📊

未授权访问统计数据

危险等级:中危

📝 漏洞描述

/api/stats 接口无需登录即可访问,直接返回系统统计数据,包括成员数量、部门数量、运营年数等敏感信息。

🔍 复现步骤

1

打开浏览器,确保未登录状态

2

直接访问以下URL:

https://linzhong-members.pages.dev/api/stats
3

观察返回结果,无需认证即可获取统计数据

✅ 预期结果

{
  "success": true,
  "data": {
    "members": 10,
    "departments": 5,
    "years": 3
  }
}

⚠️ 影响分析

攻击者可以获取公司规模等敏感信息,为进一步的社会工程学攻击或定向攻击做准备。

💡 测试说明:本次测试为授权安全测试,仅用于网站自行安全测试。请遵守法律法规,不要对未授权的系统进行安全测试。