API攻防
关注
分享
扫一扫
文章平均质量分 70
xiaoheizi安全
网络安全知识分享,本人精通Windows开关机以及重启等上档次的高级操作!!!
展开
-
接口漏洞-DVWS(XXE+鉴权)+阿里云KEY
选择基础运维——立即导入——指定云厂商——输入AccessKey ID和AccessKey Secret值——选择云主机——导入至门户。来到首页点击admin area 发现进入几秒钟之后又跳转回到首页,只有管理员admin用户才能进入。来到Admin Area这个搜索用户信息的接口,随意输入111点击搜索,进行抓包。就可以获取对方账户的权限,做一些操作,如:修改对方实列密码。把数据包中xhz用户的jwt替换为admin用户的jwt。访问控制功能,用户如果开启此功能,攻击者只要知道用户的。原创 2023-07-21 20:49:26 · 649 阅读 · 0 评论 -
接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack
接口就是位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。 接口拥有各种功能,如:文件上传,查询,添加,删除,登录等等。我们就可以在这些接口上测试该功能漏洞。原创 2023-07-20 17:19:52 · 5035 阅读 · 0 评论