GET传送漏洞案例分析(CCTV为例)

/ 1243 次浏览/ 网络安全

GET传送漏洞案例分析(CCTV为例)


GET真的安全吗?原理

你要在硕大的CCTV去找1个传送漏洞貌似很难

不过我们就来想下

我们就来爬下::/cntv:passwd

爬到了一位:http://jishi.cntv.cn/program/gugong100/01/index.shtml?usrid2011=a61911%40gmail.com&passwd_view=%C3%DC%B4a&passwd2011=a22561081

给大家讲下原理,http://jishi.cntv.cn/program/gugong100/01/index.shtml?usrid2011


先看下源代码:他依赖:usrid2011与passwd_view参数

那么我们就来找下


没错把~~

用户在登录时提交用户密码,被GET记录了

psb1.png



我们看看登录接口

http://jishi.cntv.cn/



psb9.png

OK我们看下
usrid2011=a61911%40gmail.com
%40编码就是@

泄漏了gmail邮箱,密码就是a22561081

我们先登录看看

passwd_view=%C3%DC%B4a&passwd2011=a22561081



很明显,我们成功登录了别人的邮箱


OK

我们还可以利用foxmail,下载到本地,看看他的密码是不是也是这个


psb3.png



<< 上一篇

SQLMAP绕WAF注入tamper插件

下一篇 >>

其实这样也可以钓鱼的

相关文章