主页 > 网赚优化 > 网站登录验证码的验证机制,登录点经验之谈。(4)

网站登录验证码的验证机制,登录点经验之谈。(4)

使用burpsutie抓包过程中,发现api接口出现参数仅有username=null,尝试修改null为admin,直接登陆管理员账号,尝试修改其他用户也可以成功。此处发现仅是偶然,因为接口自己出现了这个参数,不过下次可以尝试手动添加了,这个也算是接口没有对密码进行校验的。

漏洞详细过程:

打开用户登录界面,对统一身份验证进行抓包

 

1606724625_5fc4ac112df704c6a59ee.png!small?1606724626556

 

然后forward,数据包会跳转到,发现post表单数据带有username=null参数

 

1606724694_5fc4ac56b9b884372e596.png!small?1606724695812

 

然后修改该参数,forward成功绕过

 

1606724733_5fc4ac7dd206d3e5d8be1.png!small?1606724734663

 

 

1606724765_5fc4ac9d64019d704a201.png!small?1606724766213

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!

您可能还会对这些文章感兴趣!