我发现大家都喜欢看挖洞的文章,我发分析文章都没人看,发个之前搞到的小漏洞吧。 本来是这样的,挖一个src然后注册一个账号进去,发现有修改用户名这么一说,然后修改用户名,随便抓一个包瞅瞅。
然后修改成get+任意名字 直接返回页面查看姓名 发现修改成功,直接构造一手POC、burp自动生成真牛逼!
然后在登录状态单击这个页面,嘿嘿嘿
你以为就到这?那不可能啊,这个玩意有论坛这么一说 下面你们懂的,哈哈哈哈 对了,里面的链接你们还可以继续去瞅瞅,是啥我就不说了
tql
链接出去到自己的网站,js自动提交请求这个意思?
师傅挖的是某美SRC的?
