记某次攻防从无到有

主要观点总结

本文描述了在公众号狐狸说安全提供的信息背景下，通过信息收集、测试发现了某个后台系统的安全漏洞。通过绕过方式成功进行路径穿越，发现api接口存在未授权调用问题。在获取部分用户信息后，发现密码是加盐的，于是调整思路通过汉字url编码进行fuzz测试获取账号。进一步挖掘发现存在越权漏洞，能够查看全部订单数据。最终造成大量生产业务数据泄露、设备权限被接管等严重后果。

关键观点总结

关键观点1: 公众号狐狸说安全提供信息安全相关信息。

文中提到“免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失均由使用者本人负责。”，表明文章涉及公众号提供的信息安全相关话题。

关键观点2: 通过信息收集发现后台系统漏洞。

文章描述了通过信息收集进行资产测试，发现了某个后台系统的安全漏洞，这是文章的主要事件起点。

关键观点3: 绕过方式成功进行路径穿越并发现api接口未授权调用。

文章详细描述了通过路径穿越绕过安全机制，并成功发现api接口存在未授权调用的问题。

关键观点4: 获取用户信息并发现密码加盐处理。

在获取部分用户信息后，文章指出系统对密码进行了加盐处理，这影响了后续的破解思路调整。

关键观点5: 存在越权漏洞和数据泄露。

文章指出发现了越权漏洞，导致能够查看全部订单数据。最终造成大量生产业务数据泄露、设备权限被接管等严重后果。