根据用户提供的网页截图,我提取了以下关于漏洞的关键信息: 1. 漏洞概述: 标题:SourceCoder Leave Application System in PHP and SQLite3 1.0 Improper Authorization(SourceCoder 请假申请系统 PHP 和 SQLite3 1.0 版本中的授权不当漏洞)。 描述:该漏洞是一个不安全的直接对象引用(IDOR)漏洞,存在于用户管理功能中。它允许已认证用户通过操纵URL中的 参数来访问和修改其他用户的账户。 具体机制:应用程序基于 值加载不同的用户配置文件,而没有执行适当的授权检查。攻击者可以通过更改 参数值来访问其他用户的账户。 潜在危害:攻击者可以访问敏感用户信息、修改其他用户账户,甚至可能提升权限。 2. 影响范围: 受影响产品:SourceCoder Leave Application System in PHP and SQLite3 1.0。 受影响组件:用户管理功能( )。 3. 修复方案: 页面中未直接提供具体的修复代码或补丁,但描述中暗示了修复方向:需要在加载用户配置文件时执行适当的授权检查(proper authorization checks),确保用户只能访问自己的数据。 4. POC/利用代码: 页面中提供了示例漏洞端点(Example vulnerable endpoint): 页面底部提供了一个链接指向具体的利用路径: 。 5. 其他信息: 提交者:Hemant Raj Bhati (ID: 95813) 提交时间:2026/03/16 12:33 PM (注意:截图中的日期显示为2026年,可能是系统时间错误或未来日期的占位符,但我会如实记录截图内容)。 状态:Published(已发布)。 现在,我将这些信息整理成简洁的中文Markdown格式。 漏洞总结:SourceCoder Leave Application System 授权不当漏洞 漏洞概述 漏洞名称:SourceCoder Leave Application System in PHP and SQLite3 1.0 Improper Authorization 漏洞类型:不安全的直接对象引用 (IDOR) 描述:该系统的用户管理功能存在授权不当漏洞。应用程序在加载用户配置文件时仅基于 值,未执行适当的授权检查。这允许已认证用户通过操纵 URL 中的 参数,访问和修改其他用户的账户。 危害:攻击者可访问敏感用户信息、修改他人账户,甚至可能提升权限。 影响范围 受影响产品:SourceCoder Leave Application System in PHP and SQLite3 1.0 受影响功能:用户管理模块 ( ) 修复方案 建议措施:在加载用户配置文件或处理用户数据请求时,必须实施严格的授权检查(Authorization Checks),确保用户只能访问属于自己的数据,不能通过修改 ID 访问他人数据。 POC / 利用示例 页面中提供了以下示例漏洞端点,展示了如何通过修改 参数来访问不同用户: 利用逻辑**: 通过更改 参数值,攻击者可以访问其他用户的账户信息。