有効なセッションを使用して他のユーザー情報にアクセスできる

Question

だから、私は私の有効なアカウントを使用してウェブサイトにログインしています。しかし、ログインせずにアクセスできる「application/x-www-form-urlencoded」または「パラメータ」を使用するWeb API（GET）があります。いくつかのページはそれにアクセスするためにログインする必要があります。

これは事実です

次を使用してログイン：

Username
パスワード

利用可能なページ：

ページA =>アクセスするにはログインする必要があります
ページB =>ログインする必要のない共通の情報ページ

WebサイトにログインするとページAにアクセスできますが、アクセスするにはページB（Web API）のパラメーターを使用します。例： http://www.websiteurl.com/?name=another_username

次に、一般的な情報（一般的な情報の性別、last_loginなど）にアクセスできます。アクセスした後、[Page Aに戻りますanother_user情報は私の情報ではありません。

私はクッキーにチェックインしました：

PHPSESID: randomCookieValues12345678

質問：

なぜそれが起こったのですか？そして、どのようにこの問題も回避しますか？
これはサイバールールに反していますか？これはプログラマーのために起こりましたが

user10216038 · Accepted Answer

自分のトラフィックをキャプチャすると、おそらく何が起こっているかがわかりますが、以下の注意を参照してください。

あなたの説明では、サイトはユーザーレベルの認証ではなく、バイナリ認証をサイトに適用しているようです。つまり、有効なユーザーとして認証されると、他のチェックは適用されません。

悲しいことに、この種の間違いは、あなたがもっとよく知っていると思う場所でもまだ起こります。

このセキュリティの問題を報告する方法については注意します。

ほら、これで誰の情報も手に入る！

themになる可能性があります

ねえ、戻ったときに私のデータは間違っていましたか？

自分の情報に対する無知と混乱を示す無知な質問は、よく受け入れられ、調査される可能性が高くなります。

「Kill the Messenger」がまだ一般的であるのは残念な現実です。

それが実行可能なオプションである場合、私は単にサイトを避けます。