前言:在家躺平的第15天
正题:前天提交的pdfxss不收,伤心了,我今天又发现批量用户注册,只能挖一些垃圾洞了,
登录框,,参考视频登陆框怎么打?一条视频教会你_哔哩哔哩_bilibili
1、反射xss,就是响应回来有我们输入的用户名就可以尝试
2、在burp删掉password字段,或输入null,看是否可以直接登录
3、看js文件,批量访问接口链接,看是否有未授权文件
4、改响应包为200,看是否可以直接登录
5、改链接的login,改为register,看是否可以尝试注册,然后访问后台进行测试
6、看用户名是否可以枚举,用户名枚举漏洞
7、忘记密码处,看是否可以越过验证码,直接修改密码