黑客利用越权漏洞的危险

黑客利用越权漏洞的危险

安全漏洞hacker2019-07-10 23:32:059553A+A-

近期没时间刷新稿子就随意偷个来吧来吧

为了不影响制造商的正常值客户统计数据,通常在检测前,会申请注册两个帐号密码,来开展检测滥用权力,检测滥用权力时大家需要准备两个东西:

Firefox

burp suite

不管是正常值策略和隐身术策略的Firefox走的都是相同代理商,因此不用重新开展快速设置,有关怎么设置代理商类似于的內容,拙作这里也不写了 :),读得太基础容易被调侃,两个帐号密码姑且称之为攻击者A、受害人B,拙作使用Firefox普通级策略与隐身术策略分別登陆两个不同的帐号密码,如图所示:

43e6ee2c40fde1217e5ee3215d80b118

 

那么如何发现滥用权力呢?犹如上文常说滥用权力通常都会存在在一些增删改查的地方,拙作就先从一些有着灵敏信息的地方(比如:邮寄地址/个人资料/客户定单等)开展检测,最先转换burp到Intercept Is On 状态,点一下邮寄地址,阻拦到的恳求给出:

put /u*

Accept-Language: zh-Cn,zh;q=0.7,es-us;q=0.6,es;q=0.7

Accept-Encoding: gzip, deflate

X-Requested-With: XMLHttpRequest

Referer: .com:/*

Accept-Language: zh-Cn,zh;q=0.7,es-us;q=0.6,es;q=0.7

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: .com://www.******.Com/member/

Content-Length: 38

Cookie: cookie hide

X-Forwarded-For: 127.0.0.1

Connection: keep-alive

Pragma: no-cache

Cache-Control: no-cache

 

xcase=init&DeliveryAddrDto.addrid=82833

 

根据上方一个恳求的包,假定伪sql句子为:

Select


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 辞眸卿绡2022-06-06 02:42:24
  • 户偏号/名姓的主要参数,估测程序猿把客户身份证验证的标志存在session中,查询网站具体位置的时候再加载出来了,这样就没有方法去改动了,那么就把这个数据文件放行了
  • 鸽吻十鸦2022-06-05 21:26:13
  • /名姓的主要参数,估测程序猿把客户身份证验证的标志存在session中,查询网站具体位置的时候再加载出来了,这样就没有方法去改动了,那么就把这个数据文件放行了,看到给出的网页页面:e60bee58ca8efe09ffb0f12831caa620 再次看下面的功能,网页页面
  • 酒奴素歆2022-06-05 22:00:15
  • 近期没时间刷新稿子就随意偷个来吧来吧为了不影响制造商的正常值客户统计数据,通常在检测前,会申请注册两个帐号密码,来开展检测滥用权力,检测滥用权力时大家需要准备两个东西:Firefoxburp suite不管是正常值策略和隐身术策略的Firefox走的

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理