本文揭示了如何利用burpsuite抓包和开发者工具技巧,通过服务器端信息泄露漏洞发现CEO薪资及获取免费手机折扣的实例,强调了服务器安全的重要性。
一、习题通关
第2页
背景:作为CSO,可以看到除CEO(Neville Bartholomew)之外的其他员工的工资,没有权限看CEO的工资
任务:找到CEO(Neville Bartholomew)的工资
解题步骤:
这题老简单了,2步过关
1、准备好burpsuite抓包,网页上select user选项框那里随便选一个人
2、如上图所示,网页上看确实只能看到一个员工的 ,但是burpsuite里面可就不是了,在proxy模块http history中找到下图这个url,看Response,数据部分以json格式返回了所有员工包括CEO的salary,拉到最下面找到Neville Bartholomew的salary,复制到网页上submit即可过关
另外其实如果懒懒地不想开burpsuite的话,这关也能过,在salary那个表上鼠标点右键,再点 检查(chrome浏览器),然后往前找一找,能找到下图这个隐藏的table,把最后一个tr(id=112)标签点开,就能看到Neville Bartholomew的salary
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
