目录
敏感信息泄露漏洞
首页,就是让我们输入账号密码进行登录,但是我们并不知道账号密码
点击提示,只是让我们找找看,并没有提示账号密码
但是首页有一个find abc的提示,我们猜测是账号信息是在页面源代码里面,f12查看页面源代码,在源代码里寻找账号信息。成功找到测试账号lili/密码123456的提示
使用账号lili,密码123456成功登录
总结
Pikachu靶场的敏感信息泄露漏洞,就是程序员在设计页面代码完成时,由于疏忽忘记删除掉账号信息,而造成的信息泄露。
URL重定向漏洞
首页有四个超链接,点击1、2没有反应,点击3跳转到url重定向的概述页面
点击4之后,页面出现文字(好的,希望你能坚持做你自己!),并且url地址栏发生变化
尝试在url地址栏输入其他的网址,如输入http://www.baidu.com,看是否能重定向到百度页面
成功跳转到百度页面
总结
Pikachu靶场的URL重定向漏洞,我们输入任意网址,都会完成跳转。如果存在URL重定向漏洞,就可以把页面重定向到自己搭建的恶意站点。