如何挖掘业务逻辑漏洞
正文
如何找到
尝试你在正常情况下做不到的事情,比如免费获得东西付费的产品(付费东西免费获取),或者说删除未经用户授权的帖子等等
如何练习
1.描述一下应用在正常情况下的功能,这个应用正常情况是什么样的,就是要搞懂业务的正常流程
2.单击每个按钮并了解它们的作用
3.尝试做一些你不应该做的事情
实例
目标网站为他们的志愿者提供了社交媒体平台。志愿者可以与他人分享他们的帖子,点赞他们的帖子,加入公司的活动等。
在这个平台上创建了两个账户(主账户和受害者账户),开始在这个应用程序上随意点击。点击了网站上的每个按钮,所以我了解了“标准用户”的正常情况。
打开BP,我点赞受害者的帖子。发现每个帖子都有一个code,code = " 00P1235 "
。把请求发送给repeater,然后不断地发送。看到帖子的点赞增加到27个,一个中危到手
用主要用户创建一个帖子,这个帖子有一个删除选项,拦截删除选项,发现在这个请求中帖子的code也是很明显的
将code参数替换为上次点赞请求中获得的受害者的code。得到一个200响应。试图去找这个帖子,发现已经不见了。现在可以删除每个人的帖子了。
小结
在进行IDOR测试的时候,有时候无法直接获取id这种参数,可以考虑从其他的增删改查中间接获取
原文始发于微信公众号(迪哥讲事):如何挖掘业务逻辑漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论