2018-06-15
Access Control Flaws 存取控制流程
Insecure Direct Object References 不安全的直接物件參考
https://www.owasp.org/index.php/Testing_for_Insecure_Direct_Object_References_(OTG-AUTHZ-004)
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References
http://cwe.mitre.org/data/definitions/639.html
********************************************************************************
********************************************************************************
********************************************************************************
把 OWASP ZAP 設定為攔截,按下上圖 Submit 按鈕
********************************************************************************
(下圖) 根據上面得到的資訊,修改網址成下面
(下圖) 把 2342384 加1
(下圖) 把 2342384 加1、加1、加1、加1、、、發現 2342388 可以看到資料
前半成功。
另一半待研究。
********************************************************************************
JSON Web Tokens
https://jwt.io
https://tools.ietf.org/html/draft-ietf-tokbind-protocol-10
https://tools.ietf.org/html/draft-ietf-tokbind-negotiation-05
https://tools.ietf.org/html/draft-ietf-tokbind-https-06
(待續)
沒有留言:
張貼留言