原创力文档- 1
- 0
- 约小于1千字
- 约 2页
- 2026-06-22 发布于北京
- 举报
越权(一)
————支付收获地址越权
前言:在我挖掘的时候,其实越权是普遍存在,一个get请求中的显眼参数,一个
post请求中不明显的参数,这些都是需要我们去思考的。
0X01鉴权不严的挖法
鉴权不严(原理就不解释了)这个点可以说存在整个web站点的任何一个
地方,所以我们挖的时候,一定要养成保存数据包的习惯,这是我们挖越权很重要的思
路,再者就是A页面不存在越权,但是保B页面就不存在越权,所以我们在挖掘的时
候,不要放过任何地方,总而言之就是:观察参数
0X02站点的越权处(一)
当我们在测试站点的时候,往往都有一个收货地址,在收货地址这个功能点下面一
般有增加地址,修改地址,和删除地址,这几个功能点,这几个功能点就是我们测试越权的
关键点,如果增加地址和修改地址存在越权,那么你说高危是不是就来了?
0X03案例
某度的商城我们点击付款的页面时看见了订单号和修改地址这个功能点
然后我们准备另外一个
您可能关注的文档
最近下载
- 三标一体化内审员考试试卷.doc VIP
- 劳务投标技术标的范文.pdf VIP
- 儿童暴发性心肌炎诊治专家建议(2025).pptx VIP
- 第三单元文言文小测-统编版高中语文选择性必修下册 .pdf VIP
- 数字教育资源在小学语文作文教学中的创新应用研究教学研究课题报告.docx
- 结婚函调报告表模板.doc VIP
- 【初一数学】2021-2022学年北京西城区初一下(七下、七年级下)数学试卷(试题+答案).pdf
- 国家建筑标准设计图集17J008 挡土墙(重力式、衡重式、悬臂式).pdf VIP
- 六年级下册数学期末试卷(新疆卷).docx VIP
- 2026年课件-《气道净化技术》护理团体标准-新版.pdf
文档评论(0)