Professional Documents
Culture Documents
Note EVN
Note EVN
vn
Tài khoản: ( tuan.vo@vuphong.com-vuphong@2009) đang có quyền nhà thầu-quản trị viên
Có thể thực hiện các api mà người dùng thường không có quyền:
Với tài khoản thường có roleid = 1 đã thử sửa thành 2 tuy nhiên còn liên quan đến JWT token:
Với chức năng đặt lại mật khẩu:
o Để null trường oldPassword, trả về response:
o Response trả về: như hình dưới có thể thấy server có check mã
o Tiếp tục sửa respone trả về thành:
o Trên màn hình báo mã kích hoạt hợp lệ và cho phép tạo mật khẩu mới, tuy nhiên sau khi tạo
mật khẩu mới và đăng nhập lại thì báo Tài khoản hoặc mật khẩu wkhông chính xác.
API: /nhathau/getMember/$id: Brute force thông tin người dùng
nhathauvesvn@gmail.com
API: /solar-core/user/updateInformation: Thực hiện thêm trường roleid:0 để nâng quyền người
dùng
Response trả về Cập nhật thành công, tuy nhiên Role vẫn giống ban đầu, không thay đổi.
II. Site hbmr.evn.com.vn
Tại trang login thực hiện đăng nhập:
Thực hiện sửa response trả về thành 200 OK:
Thấy được giao diện bên trong, tuy nhiên không thao tác được gì: