|
|
闲来无事挖挖src,主要测一测逻辑漏洞,首先信息收集大家都有就自己的一套工具我就不多说了,我自己是灯塔为主各种小工具为辅。
首先打开页面发现有几个功能点
发现排名有根据点赞排名而点赞每个人只能点赞一次,那思路就来了,我们能不能突破点赞限制从而控制整个文章排名,首先抓个包
映入眼帘的就是两个参数一个是作品id一个是赞的返回结果数据,没有任何控制和校验那我们直接重放包到100
再返回页面查看成功突破限制
成功控制排名
尽管危害不大但是挖逻辑漏洞思路一定要骚(手动滑稽)
原文始发于微信公众号(XK Team):某src小逻辑漏洞挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论