文章总结： 本文分享了后台未授权访问漏洞实例。在招聘平台测试中，通过前台接口路径访问后台API绕过鉴权，获取身份证等敏感信息；另一案例利用小程序Token访问后台接口导致数据泄露。结论建议测试同域或前后台站点时，应交叉尝试接口路径与Token组合，以发现潜在越权漏洞。 综合评分： 91 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验

超干干货！后台未授权访问漏洞实例分享

原创

洞悉安全攻防团队 洞悉安全攻防团队

洞悉安全团队

2026年1月30日 18:30 浙江

点击上方蓝字关注我们！

最近在测试某招聘平台时，无意间发现了一个容易被忽视的未授权漏洞。过程并不复杂，但恰恰是这种“看似没问题”的设计，容易成为系统的软肋。

一.某招聘后台未授权访问漏洞

场景还原

平台有两个主要系统：

1.招聘系统：

面向求职者和企业用户；

base_api以 /hire开头。

2.后台管理系统：

供内部管理人员使用；

base_api以 /hradmin开头。

求职者接口/hire下的接口属于普通用户功能，而内部管理员接口/hramin下的接口则需要管理员权限。

测试思路

正常情况下，如果登录不进去，我们会先尝试弱口令，再收集接口，将获取到的接口，尝试使用不同的访问方式去测试，并且尝试fuzz出对应参数等。

1. 这里使用正常的访问测试未授权时，全部返回302，并且直接跳转到的登录页面。
2. 尝试用普通用户的token去访问，也全部返回302，这里可能校验了是否有管理平台的权限。

使用管理平台/hradminapi访问会返回302，但是使用招聘平台的/hireapi去访问，直接返回了全部数据。

1、访问/hradmin/FileAttach/getSysFileAttachPage

=> 响应码302，跳转回登录页面

2、访问/hire/FileAttach/getSysFileAttachPage

=> 响应码200，直接获取到了全部数据

通过对数据解密，获取到所用用户的身份证，毕业证，银行卡图片等信息：

从“一个漏洞”到“一类漏洞”的思考

通过该漏洞可以举一反三，遇到后台不仅要使用常规的思路去测试未授权访问漏洞，在我们遇到同域名或相似的站点， 或者同时存在前台后台的站点，我们可以将收集到的接口结合起来，同时进行测试

例：
(1)a.xxx.com 我们有权限去访问
(2)b.xxx.com 我们没有权限去访问
我们可以将a系统的token，去访问b系统的接口，也可能会出现意料之外的情况
下面的案例就是这种情况导致的信息泄露

二.某小程序后台未授权访问漏洞

测试思路

在测试完小程序后，尝试将小程序的域名放到web上去访问，直接获取到了小程序的管理后台。

在收集的管理后台的接口中，发现了/refund/list/new 的接口，可以列出后台的退款信息，但是使用管理平台直接访问会显示没有权限，这里尝试使用小程序的token，访问管理平台的接口，直接获取了上千条数据，包含三要素。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：洞悉安全团队 洞悉安全攻防团队 洞悉安全攻防团队《超干干货！后台未授权访问漏洞实例分享》