如何从空白页发现 IDOR漏洞

admin 2024年2月1日21:39:09评论14 views字数 457阅读1分31秒阅读模式

声明:所分享内容是在国外黑客大佬的漏洞报告基础上加工整理,仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,作者不承担相应的后果.

IDOR(Insecure direct object references)漏洞,即不安全对象引用漏洞。

1. 查找接口

某个测试目标打开后是一个空白页。

因此,利用 F12 开发人员工具来检查 JavaScript 是否提供了其他信息。幸运的是,找到了多个接口,并且能够从这些接口检索数据。

如何从空白页发现 IDOR漏洞

2.  获取参数

所以接下来,需要对这些参数做些模糊测试。

然而,有趣的是,在构造参数名称准备模糊测试时,返回数据包直接提示了缺少的参数名称。

如何从空白页发现 IDOR漏洞

3. 模糊测试 & & IDOR

有了参数名称,接下来去模糊测试参数的值,而且根据参数名的含义猜测它的值应该都是数字,但是不知道有多少位,试试下面的。

如何从空白页发现 IDOR漏洞

不出意外,成功获取到用户信息

因此,在遇到空白页时,不应放弃。通过使用 F12 来寻找接口并启动模糊测试,肯定会出现意想不到的成功。加油!!

原文始发于微信公众号(薯条机器猫):如何从空白页发现 IDOR漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月1日21:39:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何从空白页发现 IDOR漏洞https://cn-sec.com/archives/2404311.html

发表评论

匿名网友 填写信息