![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
记录
我啊zbs
这个作者很懒,什么都没留下…
展开
-
Pikachu漏洞练习平台—CSRF
CSRF 1.1 原理: 利用目标用户的合法身份,以用户的名义执行某些非法操作 1.2 Get型CSRF 点击提示 获取账号密码 随意登录一个账户 打开Bp 点击修改个人信息 点击提交submit 可以看到这就是修改账户信息的链接 ,复制出来,可以放到image等资源标签中,诱使用户点击,修改信息 当用户点击链接时,就会修改掉当前账户的信息 1.3 POST型CSRF 登录账户并且点击修改个人信息 打开Bp,点击submit提交 获取到地址,可以自己编写一个html文件,使用form表单提交原创 2020-07-20 21:31:05 · 496 阅读 · 0 评论 -
Pikachu漏洞练习平台—越权漏洞
越权漏洞 如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。 一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。 水平越权 点击提示获取一个账号密码 选择一个账号登录 登录成功后打开Bp 点击查看原创 2020-07-20 14:58:56 · 311 阅读 · 0 评论