文章总结： 文档分享了一个招聘网站越权漏洞案例，作者绕过限制添加子账号但无实际功能。虽然补天平台通过，厂商却以影响轻微为由拒收。文章核心探讨此类无实质危害的水洞在渗透测试中的界定标准，反映了测试人员与厂商在漏洞价值认知上的差异，引发对低危漏洞判定依据的思考。 综合评分： 55 文章分类： 渗透测试,SRC活动,漏洞分析,实战经验

没什么危害的越权不收

原创

游山玩水 游山玩水

山水SRC

2026年3月17日 14:55 河南

概述

本文讲解了在渗透测试中测到了一个越权漏洞案例，补天审核通过了该漏洞，但是厂商不通过

厂商回复：感谢提交，该功能点问题已知，影响轻微，暂不做处理

流程描述

该网站是一个招聘和发布招聘一体的网站

点击其中的进入企业后台，需要填写企业审核信息（这个填写完就可以进入企业后台，但是功能点都用不了）

点击任何按钮出现下面情况

使用插件AntiDebug Breaker的vue绕过模块可以绕过其中的多账号管理模块的限制，添加子账号，但是这个子账号也没有什么功能能使用（就是没什么危害，但我感觉确实是漏洞，毕竟是在做不让做的事情）

提问

我想问一下这种在以后进行渗透测试工作时能算漏洞吗，就是那种水洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《没什么危害的越权不收》