摘要:
bug 题目描述 没有描述 解题过程 打开题目,提示让登录,看了下有登录/注册/找回密码功能点 注册一个账号登陆上看看,有管理/个人资料/修改密码/退出登录功能点 cookie 有user字段,使用的UUID(32位随机码) 管理 提示不是admin,不能使用 根据uuid判断身份 个人资料 显示了 阅读全文
摘要:
Portswigger web security academy:SQL injection SQL injection vulnerability in WHERE clause allowing retrieval of hidden data 题目描述 在产品类别处可以sql注入,sql语句: 阅读全文