Portswigger - Контроль доступа - Лабораторная работа №7. Идентификатор пользователя контролируетс... скачать в хорошем качестве

Portswigger - Контроль доступа - Лабораторная работа №7. Идентификатор пользователя контролируетс...

Привет, хакеры! В этом видео показан случай, когда идентификатор пользователя контролируется параметром запроса, что приводит к утечке данных при перенаправлении. В этом практическом занятии от Web Security Academy на платформе Portswigger вы увидите, как использовать уязвимость Burp Suite для потенциальных атак, обнаруживать и находить конфиденциальную информацию на основе логики приложения. ⚠️ Подпишитесь на мой канал ➡️ @popo_hack ⚠️ 0:00 - О практическом занятии 0:53 - Вход в систему под учетной записью пользователя Wiener 2:10 - Тест POST /login 4:29 - Перенаправление 4:55 - Тестирование конечной точки /my-account 5:08 - Утечка конфиденциальной информации Карлоса 5:43 - Отправка API-ключа пользователя Карлоса 5:57 - Дополнительная информация 🔍 О практическом занятии Практическое занятие: Идентификатор пользователя контролируется параметром запроса, происходит утечка данных при перенаправлении Уровень: Ученик Это практическое занятие содержит уязвимость контроля доступа, при которой конфиденциальная информация утекает в теле ответа перенаправления. Для решения лабораторной работы получите API-ключ пользователя carlos и отправьте его в качестве решения. Вы можете войти в свою учетную запись, используя следующие учетные данные: wiener:peter ✅ Что делать? 1. Войдите в систему, используя предоставленные учетные данные, и перейдите на страницу своей учетной записи. 2. Отправьте запрос в Burp Repeater. 3. Измените параметр "id" на carlos. 4. Обратите внимание, что хотя ответ теперь перенаправляет вас на главную страницу, в теле запроса содержится API-ключ пользователя carlos. 5. Отправьте API-ключ. Спасибо за просмотр моего видео! Если у вас есть вопросы или предложения по темам, пишите в комментариях ниже 🙋 #WebSecurityAcademy #portswigger #vulnerability