Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】
案例场景:拥有高权限账户密码
越权方法:使用低权限会话cookie替换高权限请求包中的cookie
注:此场景已应用身份校验,故以下为常规越权操作。
1、使用管理员账户升级某用户身份:
将该请求包发送至重放器。
2、登录普通用户,获取其cookie:
3、使用普通用户的cookie替换重放器中管理员的cookie,页面回显: