那些遇见的让人直呼六百六十六的漏洞案例

2025年4月8日14:11:42评论11 views字数 262阅读0分52秒阅读模式

记录一下那些老六例子：

一、那些奇特的绕过

当你观察报文时，一定要仔细：

Cookie: session=eyJ1c2VyIjoidXNlciIsInJvbGUiOiJ1c2VyIn0=

这个cookie就很特别，拿去解码，哎呦喂，一看

{"user":"user","role":"user"}

这给他改改？

{"user":"admin","role":"admin"}

然后看看响应：

二、AI 对话框产生的XSS

突发奇想，让AI输出一下js试试有没有问题？

原文始发于微信公众号（Secu的矛与盾）：那些遇见的让人直呼六百六十六的漏洞案例

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

0034. 竞争条件——账户接管的速率限制

本文由 admin 发表于 2025年4月8日14:11:42
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
那些遇见的让人直呼六百六十六的漏洞案例https://cn-sec.com/archives/3928513.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.