随笔分类 -  靶场

摘要：水平越权 A用户和B用户属于同一级别用户，但各自不能操作对方个人信息。A用户如果越权操作B用户个人信息的情况称为水行越权操作 三个用户 lucy/lili/kobe 密码都为123456 随便登录其中一个用户lucy 可以看到地址栏里 “url为op1_mem.php?username=lucy&s 阅读全文

摘要：先随便输入账号和密码、验证码，来判断前端是否对验证码进行判断对错 先随便输入账号和密码不输入验证码，来判断前端是否允许验证码留空 先随便输入账号和密码，输入正确的验证码，来判断账号和密码是否存在 1、先随便输入账号和密码、验证码，用bury抓包 抓到的包 2、用快捷键ctrl+l把抓到的数据包弄到l 阅读全文