【网络安全】IDOR之请求包分析

最新推荐文章于 2024-08-31 20:59:18 发布
最新推荐文章于 2024-08-31 20:59:18 发布
阅读量57 收藏 3
点赞数 3
分类专栏: 网络安全 文章标签: web安全 漏洞挖掘
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/141570080
版权

未经许可,不得转载。

文章目录

正文

某在线游戏平台,在开始测试时,我访问了 /profile 页面(个人资料页面),然后查看 Burp 历史记录,想查看有多少隐藏的请求。

可以看到一个HTTP 的 OPTIONS 方法的请求包:

img

从图中看到,该请求包含两个参数:player_id_or_name(用户的 ID 或姓名),以及event(游戏名称)

接着,我将请求发送到 Repeater,并将请求方法从OPTIONS更改为GET,发包后,我能够检索我玩过的所有游戏的列表。

然后,我将自己的用户名更改为其他用户的用户名,同样也可以检索他们的数据。

数据包括:

1、玩家 ID
2、比赛时间
2、结果(赢或输)
3、比赛风格
4、游戏

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
网络安全分析cookie实现PII IDOR
等风来
08-27 157
目标:公共电子商务类型的网站,每月有大约6万到10万访问者,注册用户大约有5万。
网络安全漏洞挖掘IDOR实例
等风来
08-19 158
点击Documents > Download后,应用程序将执行 HTTP GET 请求
网络安全】APDCL:IDOR + 账户接管
等风来
07-13 909
APDCL ,即印度阿萨姆邦电力分销公司(Assam Power Distribution Company Limited),是印度阿萨姆邦政府控制的公共部门企业,负责电力分配和供应服务,确保电力供应的稳定性和可靠性,以满足居民、工业和商业客户的电力需求。
网络安全IDOR实现ATO(账户接管)
等风来
08-11 195
进入B账号,拦截查看个人信息的请求,当前时间戳为1349328731,立马将user_id由B的id更改为A的id,但服务器返回错误,这与预想的有些出入
DVWA含以下几个主要的安全漏洞类别.rar
06-13
DVWA是一个用于网络安全教育的开源Web应用程序,它为安全专业人员提供了一个平台来实践和测试他们的渗透测试技能。以下是根据标题和描述推测的一些可能的知识点: 1. **SQL注入(SQL Injection)**:这是最常见的...
网络安全】通过导入功能将权限提升至管理员
等风来
07-26 454
一款学习型 Web 应用,具有多个角色,其中两个相关角色是admin和student。管理员拥有完全访问权限,而学生拥有有限的访问权限。管面板中的一项功能允许管理员通过 CSV 方便地导入用户(系统提供了示例 CSV 文件)。进入管理员界面,通过此导入功能添加一个用户并拦截请求,并将管理员会话令牌替换为学生的令牌。最终导入成功,新用户已被邀请加入平台。
网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
最新发布
goldfish8848的博客
08-31 1139
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
网络安全网络安全中的常见攻击方式:被动攻击、主动攻击与中间人攻击
一定要站在自己热爱的生活里闪闪发光
08-27 432
在信息化时代,网络安全已经成为企业和个人都非常关注的领域。无论是个人隐私还是企业机密,随着互联网的广泛应用,保护这些信息免受攻击变得越来越重要。攻击者通过各种方式试图获取、篡改或破坏信息,这些方式大致可以分为被动攻击、主动攻击和中间人攻击三类。了解这些攻击方式有助于我们更好地保护自己的信息安全
人工智能在网络安全领域的应用探索
A526847的博客
08-29 1041
随着网络技术的飞速发展,网络安全问题日益凸显,成为制约数字化进程的重要瓶颈。人工智能(AI)作为一种变革性技术,正逐步在网络安全领域展现出其巨大的潜力和价值。本文旨在探讨人工智能在网络安全领域的应用现状、优势、挑战及未来发展趋势。
网络安全】绕过输入验证
等风来
08-27 199
输入验证是检查用户输入的数据是否符合特定要求和约束的过程,这个过程通常发生在注册时填写信息时。它对于确保应用程序的安全性至关重要,因为不当的输入可能会引发严重的安全漏洞
网络安全之渗透测试实战-DC-3-靶机入侵
DoubleJing的博客
08-27 919
(2)但是目标主机处于内网环境是不可以被外网直接访问,只能主动将shell反弹出来.这种方式称作反弹shell,反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端,本质上是网络概念的客户端与服务端的角色反转。Web指纹定义:Web指纹是一种对目标网站的识别技术,通过识别网站所使用的服务器、运行的脚本、安装的CMS等信息对目标进行精准的分类和定位。获取本网段的主机信息,根据MAC地址比对来获取DC-3的IP地址。
网络安全系统性学习路线「全文字详细介绍」
HUANGXIN9898的博客
08-27 1506
🤟 基于入门网络安全打造的:👉黑客&网络安全入门&进阶学习资源 一、基础与准备 网络安全行业与法规 想要从事网络安全行业,必然要先对行业建立一个整体的认知,了解网络安全对于国家和社会的作用,避免出现“一叶障目,不见森林”的情况。 Linux 操作系统(网安) 很多初学者也常忽略Linux的重要性,认为学习的重头戏在框架等方面,但其实Linux也是重中之重。 计算机网络基础 计算机网络基础是网络/运维工程师都需掌握的知识,但往往会被忽略。但是它是非常重要的。 HTML(
深度解析:防火墙技术在网络安全中的应用与发展
A526847的博客
08-28 452
网络安全领域,防火墙技术作为一道至关重要的防线,始终扮演着保护内部网络免受外部威胁侵害的关键角色。随着网络技术的不断演进和攻击手段的日益复杂,防火墙技术也在不断发展和完善,以应对不断升级的安全挑战。本文将对防火墙技术在网络安全中的应用与发展进行深度解析。
网络安全实训六(靶机实例DC-3)
Wrop的博客
08-27 525
对靶机DC-3的渗透测试实例
IP地址与SSL证书:保障网络安全的关键
alsknv的博客
08-28 805
在数字时代,网络安全至关重要,而SSL(安全套接层)证书作为加密用户与服务器之间数据传输的利器,扮演着不可或缺的角色。然而,谈及SSL证书时,一个常见的误区是它们通常与域名绑定,而非直接关联到IP地址。尽管如此,了解IP地址与SSL证书的关系及其使用场景,对于构建安全的网络环境同样重要。
网络安全总结①
qq_65150735的博客
08-27 378
网络安全基础总结
网络安全总结②
qq_65150735的博客
08-27 1061
网络安全基础总结
25届应届网安面试,默认页面信息泄露
persist213的博客
08-23 1723
吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值