WebGoat Client side -- Client side filtering

本文揭示了如何利用burpsuite抓包和开发者工具技巧,通过服务器端信息泄露漏洞发现CEO薪资及获取免费手机折扣的实例,强调了服务器安全的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、习题通关

第2页

背景:作为CSO,可以看到除CEO(Neville Bartholomew)之外的其他员工的工资,没有权限看CEO的工资

任务:找到CEO(Neville Bartholomew)的工资

解题步骤:

这题老简单了,2步过关

1、准备好burpsuite抓包,网页上select user选项框那里随便选一个人

2、如上图所示,网页上看确实只能看到一个员工的 ,但是burpsuite里面可就不是了,在proxy模块http history中找到下图这个url,看Response,数据部分以json格式返回了所有员工包括CEO的salary,拉到最下面找到Neville Bartholomew的salary,复制到网页上submit即可过关

另外其实如果懒懒地不想开burpsuite的话,这关也能过,在salary那个表上鼠标点右键,再点 检查(chrome浏览器),然后往前找一找,能找到下图这个隐藏的table,把最后一个tr(id=112)标签点开,就能看到Neville Bartholomew的salary

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值