一. fiddler改发送的请求的内容。安全测试后端改代码后,如果只是单纯模拟变化的请求是出不来效果的,因为不是同一session的原因,所以要用fiddler直接抓包然后改本请求,具体做法如下:
- 打开fiddler先找到需要修改的请求:
2.执行结果:
说明增加权限校验没有问题了。
二. 利用fiddler修改响应。
- 问题描述
企业端的忘记密码在测试过程中发现,网站利用短信重置密码,如果服务器端并未进行严格校验,会导致任意用户密码重置。
具体方法:
验证码处输入任意字符,点击下一步,抓取数据包返回值。修改数据