如何寻找隐藏的参数
正文
场景:
在登录/注册页面的源代码里面尝试搜索hidden,redirect和return等关键字眼
可以尝试自己添加参数
看一个例子:
1.原来的页面:
2.改变之后:
尝试重定向参数时,尝试将.evil.com添加到域的末尾。使目标站点成为子域并重定向到evil.com
复制隐藏参数 在登录界面的源代码里面也发现了一些隐藏参数,方法同上,但是这里不允许重定向
其实在登录界面上发现的参数也极有可能是用于在同一站点上退出或者是重定向的常用参数,可以将参数添加至登出url的末尾
利用重定向来干扰
点击登录之后,可能会重定向至另外一个页面去登录,这里可以发现有个重定向的参数redirect_url
通过发现隐藏的参数可以发现一些隐藏的信息
更多请看星球
往期回顾
原文始发于微信公众号(迪哥讲事):如何寻找隐藏的参数
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论