Bypass HTML Field Restrictions
burp 截包修改
Exploit Hidden Fields
用burpsuit拦截之后观察所提交的参数,发现有一项是单价price,因此我们可以修改该price后发送。
Exploit Unchecked Email
这是一个网站的页面。可以看到上面是一个可选项,当输入自己的email用户名和密码时,就是用自己的邮箱去发送评论。当默认时,就是用网站的邮箱发送评论。有两个要求,第一个是发送一封具有XSS攻击的邮件。第二个是修改默认的收件人,使其能够发送给你想发送的人。相当于用第三方网站的邮箱给别人发送恶意邮件
|
|
点发送就完成了第一个要求。然后用burpsuit抓包,修改默认收件人。
Bypass Client Side JavaScript Validation
正常提交 burpsuite 截包修改或者 逆向验证的js函数,并修改。
