Web应用安全:越权漏洞实验.docx
实验九:越权漏洞
一、实验目的
了解什么是越权漏洞
如何利用越权漏洞
二、实验内容
利用靶场环境进行越权漏洞演练,使得一个普通用户利用越权漏洞非法成为管理员用户。
实验环境
靶机
Win 10系统
Burpsuite
实验步骤
先注册一个普通用户:
登录用户:
点击修改资料,用burpsuite抓包:
可以看到admin=0;shenfen=2两个参数。通过反复测试,发现shenfen参数1决定是否为管理员,admin为1代表是管理员,为0代表不是管理员。所以将admin改为1,shenfen参数改为1。
因为修改这个资料参数要经过好几个页面的判定,继续抓包,继续修改,最后终于伪装成了管理员的身份:
最后伪装管理员的身份进入了后台:
文件下载
评论信息
其他资源
- 绝地求生雷达最新代码.sh
- 永磁同步电机矢量控制matlab仿真(源码)
- 基于Java的Modbus通讯
- 多路RTSP高清视频播放器
- 基于jsp的网上书城系统
- ca-cfar的matlab仿真实现
- 德州仪器高性能模拟器件高校应用指南-运算放大器
- scipy-1.0.0-cp36-none-win_amd64.whl
- 阿西推广系统V5.29 破解版(商务版2419)
- 网盘的实现
- 计算机网络课程设计--校园网的搭建
- testng 6.14 离线包
- Sum_sinusoid_output.m
- 3d游戏开发库.rar
- 产品直播规则体系.rp
- blender-2.83.2-windows64.zip
- 宿舍管理系统源代码
- framedyn.dll
- 线性CCD调试助手
- C# ArcGISEngine 分区统计最小二乘
- glibc-2.3.4-2.41
- ise9.1注册码
- ARP木马课程设计报告(附源码)
免责申明
【只为小站】的资源来自网友分享,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,【只为小站】 无法对用户传输的作品、信息、内容的权属或合法性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论 【只为小站】 经营者是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。
本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二条之规定,若资源存在侵权或相关问题请联系本站客服人员,zhiweidada#qq.com,请把#换成@,本站将给予最大的支持与配合,做到及时反馈和处理。关于更多版权及免责申明参见 版权及免责申明
本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二条之规定,若资源存在侵权或相关问题请联系本站客服人员,zhiweidada#qq.com,请把#换成@,本站将给予最大的支持与配合,做到及时反馈和处理。关于更多版权及免责申明参见 版权及免责申明