本文主要是介绍6、未经授权访问漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
6、未经授权访问漏洞复现
在XSS学习过程中都有一个cookie来判断是否登录。未授权访问漏洞就是,在不登陆的情况下也能访问。
分两种类型:
一、完全未授权访问
完全没有判断。要找这种漏洞,必须的获得后台名称,用御剑扫描、inurl找、burp中放php字典爆破页面信息(index.php之类的)
二、条件型未授权访问
后端程序未判断某个参数,造成逻辑上的错误,从而可以访问。
漏洞复现:
一、完全未授权访问
http://www.fsnmmaterials.com/admin/
1、点进页面,看到是后台管理员登录页面
2、查看页面源代码,也只看到了js判断账号密码是否为空,没有绕过去,没看到有可以下手的地方。
这篇关于6、未经授权访问漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
