本文由掌控安全学院 - 心悦君兮君不知 投稿
前言
郑重声明此次测试是有授权情况下进行漏洞发掘。
漏洞挖掘
各位师傅们大家好;第一次发表文章,激动的心颤抖的手就像第一次挖掘漏洞一样,说来也是运气好,注册了一个账号开启抓包之旅! 注册一个账号;
img
安全等级挺高啊,注册成功以后密码居然是通过手机号发送的;密码强度非常高,让我成功的失去其他想法,成功登录后看了看啥也没有让我认证信息,我以为G了! 突然峰回路转抓了一下包居然让我发现了什么;
img
主打运气啊,看看发现了什么id???立马更改id值看看可以返回什么;
img
id值=10110有搞头啊更改一下其他值看看可以遍历多少啊;
img
那就从id=30开始遍历吧,嘎嘎嘎嘎!!!
img
img
最后遍历出很多敏感三要素;打完收工
img
这次漏洞挖掘就到这里,师傅们和我一起努力学习大家一起共勉。希望这篇文章对师傅们有帮助!
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):记一次某系统渗透测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论