WooYun.org

对于不同的客户端浏览器采用不同的过来策略，电脑端无法访问、获取的信息可以通过手机端看到，于是乎楼主使用普通的账号，就看到了很多的后台信息。
备注：以下所有的测试使用的是手机客户端，大家都是高技术的，都懂得！
直接就可以看到很多的帖子、回复信息、甚至要我进行审核

以下是要求我审核的文章，状态为待审核，时间显示是刚写的

我本着求实的精神，编辑了下编辑，发现以下问题：

那么会不会只是查看呢，我试了下删除功能：

另外，还发现了一个比较有意思的漏洞，就是使用手机端可以枚举服务器上大部分的用户名，条件是只要写过文章的同学:
链接是：http://www.freebuf.com/wp-admin/edit.php?post_type=post&author=001

发现没有，001是root这个是很容易理解的，那么是不是每个用户都有一个编码呢，我试了下，用burp跑了001-999，都能出结果，可惜楼主手残，不能将里面的用户名称提取出来，只能看到跑出来的数据，无可奈何，只能手动列上前10的用户名
号码 用户名
1 root
2 kelz
3 此人无发表记录
4 thanks
5 此人无发表记录
6 Sn0rt
7 Pnig0s
8 此人无发表记录
9 gyrep
10 此人无发表记录
11 匿名用户
我本着严谨的谨慎，把客户端切换到默认（pc版火狐），发现内容果然正常了