得到self xss一枚,但发现没什么用,继续扩大危害越权
发现post包里有id
重新注册一个号,发现id是按照顺序往后排列
随后改id发送
在另一个账号成功弹窗
获得越权一枚
0×02:csrf再来个csrf
随后发现
网站购买商品都是以GET方式请求id进行购买,自动消除相应的货币
得到self xss一枚,但发现没什么用,继续扩大危害越权
发现post包里有id
重新注册一个号,发现id是按照顺序往后排列
随后改id发送
在另一个账号成功弹窗
获得越权一枚
0×02:csrf再来个csrf
随后发现
网站购买商品都是以GET方式请求id进行购买,自动消除相应的货币
Copyright © 2018 - 2021 www.yd166.com., All Rights Reserved.