电信和卫健委举办的攻防演练,资产主要是全市的医院,有保密协议,只能挑两个简单说说
医院a小程序口腔种植科可以直接修改价格 经典老洞了 一分钱以上随便改
医院b可以未授权访问看到接口信息,其中一个口是发验证码的,构造content和mobile参数,可以实现指定内容的短信轰炸,中文除外
也可以看到订单信息
医院c可以脏数据绕过waf进行sql注入
医院d可以水平越权,遍历id删除他人订单
标签:week,医院,可以,订单,0703,id From: https://www.cnblogs.com/guangtouliu/p/17574443.html