🎉 参数污染派对:重复键值如何崩溃API并泄露所有秘密
从发现重复参数到绕过认证、访问内部API以及发现隐藏数据。加入我的HTTP参数污染利用之旅,包含完整的技术验证过程。☕
你知道那种不请自来参加派对,却意外成为派对焦点的感觉吗?🎊 那就是我——但这不是普通派对,而是一家价值数百万美元公司的API端点;我带来的不是有趣的故事,而是导致系统崩溃并泄露所有秘密的重复URL参数。当我庆祝发现这个比我早晨咖啡习惯还要可预测的漏洞时,我的猫用审判的眼神注视着我。
我的名字如何崩溃欢迎派对:从SSI到RCE的惊喜!$$$$
这一切始于一个无聊的星期三。手拿咖啡☕,我正在测试一个花哨的SaaS应用程序——我们称它为cloudapi.com。在侦察期间,我发现了一个有趣的端点:
|
|
创建账户以阅读完整故事。
作者仅向Medium会员开放此故事。
如果你是Medium新用户,请创建新账户来阅读此故事。
在应用中继续
或者,在移动网页中继续
使用Google注册 使用Facebook注册 使用邮箱注册
已有账户?登录
发表于InfoSec Write-ups 70K关注者·最后发布1天前
来自世界顶级黑客的系列文章,涵盖漏洞赏金、CTF、vulnhub机器、硬件挑战和现实遭遇等主题。订阅我们的每周通讯获取最酷的信息安全更新:https://weekly.infosecwriteups.com/
关注
作者:Iski 1.8K关注者·6关注中 网络安全研究员 | 渗透测试员 | 漏洞赏金猎人 | Web安全 | 热衷于网络安全、安全自动化
关注