漏洞,白帽黑客,黑帽SEO ,渗透测试,逆向破解,代码审计,黑客网站,黑客博客,黑客教程,黑客软件,黑客工具,黑客技术,编程入门,电子书下载,营销软件,营销技巧,办公软件,qq技术
前景:在网易云学习的时候看到了某大型PHP网站的讲师,就浏览了一下网站,发现这是他们自己研究开发的一套CMS,就测试了一下是否某些用户交互的地方存在漏洞。漏洞详情:首先来到注册页面先填写好信息,发送验证码到目标手机,验证码是4位数的,,所以直接输入1234抓包,forword包就可以注册成功了。这里我测试:13888888888 发送到repeater,直接go就注册成功最后登录就ok了。———————————–分割线—————————–第二处漏洞(CSRF):在会员用户修改基本资料的地方点击保存抓包利用burpsuite自带功能生成poc 这里我新开一个浏览器登陆另一个账号,也就是13888888888这个用户把poc发给该用户,用户触发页面提示修改成功,我们返回到