CSRF漏洞CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSR...
逻辑越权漏洞-水平越权+垂直越权
漏洞产生原理逻辑越权漏洞就是不同用户之间操作权限的请求数据包没有做验证或验证不完整,导致用户A修改了身份验证的标志后,就有了同权限或高权限的操作权限。通常用户访问一个应用的大致流程是:登陆—验证权限—...
小黑子在企业src挖掘时的意外之喜-第二集
前言 看到上次出的“小黑子在企业src挖掘时的意外之喜”文章阅读量还不错,打算续更一集,也祝各位小黑子大黑客能天天收获意外之喜。运球 话不多说,咋们直接拿起我们的篮球(fofa,hunter)开造。我...
小黑子在企业src挖掘时的意外之喜
但好在小黑子灵光一现,在小米的一个页面发现了端倪。 由于官方现已修复,我就直接放图了。 点击问题反馈,然后在burp里面查看 我们看到响应包里面有个data参数,此时通过intruder重放 可以发现...