Business logic vulnerabilities Lab3

# Business logic vulnerabilities Lab3 本題有缺陷的邏輯允許任意用戶訪問僅對公司員工可用的管理功能，要解決實驗室問題，請訪問管理面板並刪除使用者 carlos。一樣登入介面。 ![image](https://hackmd.io/_uploads/H1SuL4nwlg.png) 我們直接進去是不行的，需要官方帳號。 ![image](https://hackmd.io/_uploads/SyWWiNhDee.png) 所以我們先註冊一個帳號（用官方給的 emaiｌ）。 ![image](https://hackmd.io/_uploads/Sy-ehEnDex.png) ![image](https://hackmd.io/_uploads/H1aQ243Dgl.png) ![image](https://hackmd.io/_uploads/HJnEn42vgl.png) ![image](https://hackmd.io/_uploads/Syzu3VnPll.png) 現在確實進來了，而有一個可以更改 email 的欄位，我們把自己的 email 改成官方的，看能不能直接提升變成員工帳號。 ![image](https://hackmd.io/_uploads/rkWCn43vlx.png) ![image](https://hackmd.io/_uploads/SyiA3VnPgg.png) 還真進來了，所以把目標使用者刪除ㄅ。 ![image](https://hackmd.io/_uploads/HyFlp4hwex.png) ---