- 博客(3)
- 资源 (1)
- 收藏
- 关注
原创 越权、cookie与session、认证和授权
越权修改疑问开始例子黑盒白盒修复后的代码sessionsession id 是从哪里开始就有的session 保存在哪session_start等函数所做的实际操作是什么测试会话固定cookiecookie保存在哪里cookie名称在哪定义什么时候服务器给用户cookie认证和授权什么是认证和授权基本认证机制1认证1 HTTP的质询响应认证框架2 认证协议与
2017-05-24 23:35:04 13825 2
原创 2017.4.26 补天挖洞
绕过任意密码重置挖洞存储型xsstips碎碎念子域名挖掘sql注入渗透测试思路绕过输入手机号,截包,本地检测修改包参数为true。任意密码重置修改密码处,修改用户名参数,如果服务器没有进行多的验证,可以进行任意用户密码重置。什么情况下不能进行用户密码重置呢?本质是?挖洞存储型xss在修改个人资料处,插入<script>xss</script>,保存修改后,页面弹框。这个时候,
2017-05-04 00:18:36 2039 1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人