本文描述了一系列技术挑战,包括发现并利用API接口泄露用户敏感信息,视频属性,实施DoS攻击,以及绕过权限限制删除他人视频和免费获取商品。作者通过抓包技术揭示了系统中的安全漏洞。
挑战4:找到泄露其它用户敏感信息的API接口
通过社区页面抓包发现每个用户的信息:
挑战5:找到泄露视频内部属性的API接口
随机上传一个视频:
进行抓包:
获得视频属性:
挑战6:使用 “contact mechanic” 功能完成第7层DoS
发送报告时抓包:
设置进行DDos攻击:
挑战7:删除另一个用户的视频
修改视频名称时抓包,获取视频API:
通过OPTIONS方法查询支持的协议:
发现删除视频需要管理员权限:
请求改为admin即可有权限:
现在可以删除别人的视频:
挑战8:免费获得一件物品
商品页面抓包:
正常提交订单:
协议改为GET+ID,查看订单参数:
协议改为PUT,状态改为退货。退货成功:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
