用户帐户泄露 现在，能够获得密码重置令牌，我们可以破坏我们感兴趣的任何用户帐户。这只需几个步骤： 1.访问/auth/requestreset生成重置所选用户密码的令牌： 2. 使用刚刚描述的方法之一（/aut...

非特权用户能够在 Stocky 中创立管理员帐户 能够经过直接发布到Stocky中的/users/create_admin端点来创立新用户。关于具有 Apps 权限的工作人员，这完整绕过了 Stocky 用户登录屏幕。 请留意，...