一种利用Fiddler检查站点是否存在越权的方法
Posted 发现bug
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一种利用Fiddler检查站点是否存在越权的方法相关的知识,希望对你有一定的参考价值。
感谢各位小伙伴的关注,今后继续更新测试技术的文章,同时欢迎各位小伙伴投稿。
利用Fiddler检查站点是否存在越权的方法如下:
原理
浏览器的cookie对应服务器中的session,通过对拥有权限的用户A的url进行遍历,找出所有url,然后利用一个没有权限的用户B的cookie,访问用户A的所有页面。
步骤
1、打开fiddler,抓取浏览器中的网络请求;
2、用户A登录BP后台,遍历访问所有页面,fiddler中记录了用户的网络请求记录;
3、用户B登录BP后台,使用fiddler的重写功能,将每个请求的cookie修改为用户B的cookie;
4、按CTRL+A全选所有网络请求,鼠标右键单击,选择Replay->Reissue Requests命令,重新发起请求。
以上是关于一种利用Fiddler检查站点是否存在越权的方法的主要内容,如果未能解决你的问题,请参考以下文章