赞
踩
Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】
由于程序不存在严格的访问控制,导致未授权访问等危害。
如图,用户 ID 用于检索相关用户的数据,以呈现帐户页面。
思路:进行爆破或修改请求后发包,查看是否存在IDOR越权
操作:遍历ID参数,查看回显
如下图,回显administrator账户信息,越权成功:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。