当前位置:   article > 正文

【Burp入门第十五篇】使用BurpSuite实现IDOR越权+访问APIKey实战案例_burpsuite 越权

burpsuite 越权

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】

在这里插入图片描述

由于程序不存在严格的访问控制,导致未授权访问等危害。

如图,用户 ID 用于检索相关用户的数据,以呈现帐户页面。

在这里插入图片描述

思路:进行爆破或修改请求后发包,查看是否存在IDOR越权

操作:遍历ID参数,查看回显

如下图,回显administrator账户信息,越权成功:

在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小桥流水78/article/detail/751022
推荐阅读
相关标签
  

闽ICP备14008679号