专栏名称: 菜鸟学信安
每天60分钟,零基础入门信息安全。分享从入门,进阶技巧,大牛经验等技术文章,以及网络安全工具资源、精选课程、视频教程及学习资料。
今天看啥  ›  专栏  ›  菜鸟学信安

某众测项目中有手就行的几个漏洞

菜鸟学信安  · 公众号  ·  · 2024-10-06 10:00
    

文章预览

1、多处存在水平越权漏洞 点击地址管理,抓包: 遍历userId即可 例如改为2206:(当前用户为2207) 个人资料处: 2、任意手机号绑定 点击完善资料 点击获取验证码,抓包: 验证码显示在返回包中: 输入验证码提交,成功绑定: 3、SQL注入 挂上burp,访问首页 会加载如下数据包: 发送到repeater , 拼接sql语句,可以发现存在注入: 通过报错注入获取数据库版本: 文章转自 Z2O安全攻防 侵权请联系我删除,谢谢! ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览