标签: OWASP

1 篇文章

OWASP Security Shepherd 解法
不安全的直接对象引用 点击刷新的个人资料并用burpsuite抓包 将username参数guest改为admin并发送,获取key 失效的数据认证 根据题意输入负数,结果报错 F12查看源码,发现前端验证,可以绕过 先输入一个整数提交并抓包 然后在burp中修改为负数提交 获取到key 安全性设定缺失 用户名爆破出admin 密码爆破出passw…