全部标签

挖掘

网站源码泄露漏洞挖掘漏洞挖掘思路

简介漏洞可以随便挖吗今天测试时发现一个任意用户登录漏洞，简单记录一下（em...写得真的很简单的那种！）登录成功后的一个请求，里面包含了当前登录用户的用户名和user_id:后面紧接着一个包含敏感信息的数据包，如下：可以看到返回信息中包含了当前用户的密码MD5，且可以正常解密。更换为其他的user_id：可以看到，返回了其他user_id的密码，但是，正常情况下，只有在成功登录一个用户后才能获取用…
网站技巧
- 9
- 0
网站技巧2024-09-19 19:58:25