一次对idc网站的fuzz测试

1.首先打开网站看看
image
不多说直接注册个账户
2.进入修改账户个人信息
image
是不是把这个便签闭合了然后在插入就直接执行了呢
image
image
成功执行

因为这个地方管理员一般不会查看,接下来就在留言出给他说我的单位名称怎么修改不了

然后登录到平台,运气不错
image
由于授权问题就没有继续下去了
3.后来我又想测试一下找会密码处受否存在任意账户密码重置
我觉得应该是存在的 但是我不知道它的算法 就没有继续了
在我之前测试他是否存在任意账户密码重置的时候他给我说
image
image
让咱们在看看url的参数
image
这个不是时间戳吗
参数可控
我把时间戳改一下那是不是就重置密码了呢
image
好了到此结束了

1 Like

是不是搞下来服务器随便开/:wink:

Xss的payload ???

评论名字不能改这个思路骚