案例
漏 洞 url：
fileid=10000autoLoginFlag=0
该网站是一个通用的cms ， 只要构造特定的userName和autoLoginFlag=0的情况下 ， 即可达成访问url直接进入后台的效果
No.5
修复建议
1.严格限制账户数据互相访问之间的权限校验 ， 用户进行访问操作的凭证（如用户ID、产品号码、订单流水号等）优先采用在服务端关联session或加密后放在session中的方式获取 。
2.必须采用表单或其他参数提交用户进行访问操作的凭证（如用户ID、产品号码、订单流水号等）时 ， 应尽可能采用难以猜测的构造方式（增加字母及随机数字等）或采用复杂的加密算法加密后提交 ， 应对客户端提交的凭证与会话的权限进行严格的验证 ， 如提交的产品号码是否为隶属于登录用户的产品号码 。

• 人生若无悔|美俄只能排第二第三，第一实属难料，让日本最忌惮的四个国家
• 蓝小姐和黄小姐|清单||人生最小的奇迹就是遇上美物
• 上海交通大学|人生赢家！他25岁读上海交大博士，妻子漂亮，带娃科研两不误
• 净利润|股市乱谈：今年所有炒股的人都会成为人生赢家？
• 「高晓松」高晓松：人到中年，迈过这三道坎儿，才能晚年多福
• 嗨的人生 诺基亚将于8月4日10点发布一款新机，C3亮相
• 许某某|大批租户搬离杭州杀妻案公寓没人敢在晚上出来散步 深挖男主人生
• 吉娜|“上综艺体验不一样的人生”
• 法制日报|应用软件过度索取权限 个人信息保护期待“牙齿”更锋利
• 【】多地进入“炙烤模式” 高温下他们书写劳动人生