使用检查元素绕过安全限制 | 漏洞赏金POC

作者：MuhammadKhizerJaved

大家好，这篇博客文章是关于漏洞赏金报告的，我能够通过使用检查元素来绕过安全限制并使用付费功能。

关于该问题

这个问题执行起来非常简单。我当时在寻找免费使用该服务的方法，结果很容易就找到了，因此决定将这个漏洞赏金技巧写成博客。我会尽量保持简单明了。

概念验证

当我创建免费账户时，收到了以下欢迎信息：

这意味着我只有有限的功能可以使用，我本可以注册免费试用，但谁不喜欢完全免费使用所有功能呢？

于是我决定四处查看，并进入了设置页面。

但所有付费选项都被禁用了，因此我无法使用它们。像往常一样，我首先尝试检查页面源代码。

在检查过程中，所有表单似乎都被禁用了。

只需将

1

<fieldset disabled>

改为

1

<fieldset enabled>

就能启用该功能

这样我就能够完全免费使用这些功能了。就是这样 - 这就是黑客技术的精髓所在。正如所说：“有时候，黑客行为只是某人在某件事上花费的时间比任何人都合理预期的要多”，研究那些看似无意义的事情总是有好处的。

相关文章

• 通过注册功能实现用户账户接管 | 漏洞赏金POC
• 通过帮助台入侵公司 - 票据技巧 | 漏洞赏金POC
• 不安全的Jenkins实例远程代码执行 | 漏洞赏金POC

作者简介

专注且经验丰富的网络安全专业人士，在漏洞赏金狩猎领域活跃超过8年，并拥有4年渗透测试经验。擅长Web和移动应用安全测试及漏洞评估，积极参与HackerOne和Bugcrowd等平台。在漏洞赏金领域的贡献已获得200多家知名组织的认可，包括苹果、谷歌、Facebook、新加坡政府和美国国防部。作为社区发展的倡导者，积极作为演讲者，在当地大学开展讲座，并在多个安全会议上发表演讲，包括两次在BlackHat MEA。对成长充满热情，始终乐于与其他安全从业者交流。