当前位置:首页 » 挖洞 - 第1页

分类页和文章页“当前位置”下方广告(PC版)
领先漏洞博客,一个值得收藏的网站!个人QQ/微信 : 947691002 技术交流QQ群:144650234

挖掘某小型CMS厂商逻辑漏洞的过程

发布 : 领先漏洞 | 分类 : 黑客技术 | 评论 : 0人 | 浏览 : 662次
挖掘某小型CMS厂商逻辑漏洞的过程

前景:在网易云学习的时候看到了某大型PHP网站的讲师,就浏览了一下网站,发现这是他们自己研究开发的一套CMS,就测试了一下是否某些用户交互的地方存在漏洞。漏洞详情:首先来到注册页面先填写好信息,发送验证码到目标手机,验证码是4位数的,,所以直接输入1234抓包,forword包就可以注册成功了。这里我测试:13888888888 发送到repeater,直接go就注册成功最后登录就ok了。———————————–分割线—————————–第二处漏洞(CSRF):在会员用户修改基本资料的地方点击保存抓包利用burpsuite自带功能生成poc 这里我新开一个浏览器登陆另一个账号,也就是13888888888这个用户把poc发给该用户,用户触发页面提示修改成功,我们返回到

文章投稿 | 有偿服务 | 本站主题 | 友链申请 | 负责申明

Copyright Your WebSite.Some Rights Reserved.

点击关闭
  • 在线客服1

    在线客服2

    在线客服3

歌曲 - 歌手
0:00