Update IDOR2.java

k4n5ha0 · web-flow · commit 60c821134a0f · 2023-01-03T16:18:12.000+08:00
admin.无法登录
另外建议让zhangwei和admin都可以登录系统，不要写死只有admin登录
这样就可以很好的对比zhangwei不能访问这个safe/admin的url，对比越权漏洞
diff --git a/src/main/java/com/best/hello/controller/IDOR/IDOR2.java b/src/main/java/com/best/hello/controller/IDOR/IDOR2.java
@@ -23,7 +23,7 @@ public String vul() {
     // 只允许admin用户可以访问管理页面
     @GetMapping(value = "/safe/admin")
     public String safe(HttpSession session) {
-        if (session.getAttribute("LoginUser").equals("admin.")) {
+        if (session.getAttribute("LoginUser").equals("admin")) {
             return "idoradmin";
         } else {
             return "commons/403";
