黑客利用越权漏洞的危险

近期没时间刷新稿子就随意偷个来吧来吧

为了不影响制造商的正常值客户统计数据，通常在检测前，会申请注册两个帐号密码，来开展检测滥用权力，检测滥用权力时大家需要准备两个东西：

Firefox

burp suite

不管是正常值策略和隐身术策略的Firefox走的都是相同代理商，因此不用重新开展快速设置，有关怎么设置代理商类似于的內容，拙作这里也不写了 ：），读得太基础容易被调侃，两个帐号密码姑且称之为攻击者A、受害人B，拙作使用Firefox普通级策略与隐身术策略分別登陆两个不同的帐号密码，如图所示：

43e6ee2c40fde1217e5ee3215d80b118

那么如何发现滥用权力呢？犹如上文常说滥用权力通常都会存在在一些增删改查的地方，拙作就先从一些有着灵敏信息的地方(比如:邮寄地址/个人资料/客户定单等)开展检测，最先转换burp到Intercept Is On 状态，点一下邮寄地址，阻拦到的恳求给出：

put /u*

Accept-Language: zh-Cn,zh;q=0.7,es-us;q=0.6,es;q=0.7

Accept-Encoding: gzip, deflate

X-Requested-With: XMLHttpRequest

Referer: .com:/*

Accept-Language: zh-Cn,zh;q=0.7,es-us;q=0.6,es;q=0.7

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: .com://www.******.Com/member/

Content-Length: 38

Cookie: cookie hide

X-Forwarded-For: 127.0.0.1

Connection: keep-alive

Pragma: no-cache

Cache-Control: no-cache

xcase=init&DeliveryAddrDto.addrid=82833

根据上方一个恳求的包，假定伪sql句子为：

Select