摘要:
代码中加入了token 的判断; 用户admin/password 登陆,修改密码,并使用BP抓包 使用smithy/password登陆,右键检查->Elements,找到修改按钮处的代码位置,获取最新的user_token(刷新页面可以看到token一直在变;用户登陆成功后服务器生成token和 阅读全文
posted @ 2025-03-14 23:35
小圣爱学习
阅读(113)
评论(0)
推荐(0)
摘要:
用户admin/password 登陆,修改密码,并使用BP抓包 使用smithy/password登陆,重放抓到的BP包,smithy 密码将被修改 重点是确保Referer 的信息存在,且和admin/password 修改密码时使用的一致 代码审计: 通过代码可以看出,如果在Referer中找 阅读全文
posted @ 2025-03-14 23:15
小圣爱学习
阅读(28)
评论(0)
推荐(0)
浙公网安备 33010602011771号