一、敏感信息泄露
pikachu 敏感信息泄露
登录成功
CTFHub phpinfo敏感信息泄露
二、越权漏洞
水平越权
修改username,可以查看其他用户的信息
垂直越权
登录管理员,复制url
登录用户
粘贴url,可以查看到管理员的功能
三、url重定向
不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。
url跳转比较直接的危害是:
-->钓鱼,既攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站
可以直接跳转到百度网站