思路:在提交订单的页面修改金额,或者商品数量
靶机:win2k8+phpstudy+“大米CMS”
攻击机:Burpuite
1:首先注册一个账号
然后访问账户,发现自己没钱
2:修改后台数据,先给自己来1块钱,开局
再来确认一下,张三果然有了1块钱
(介绍一下如何通过修改数据库来更改张三的钱)
3:选购商品
4:开启BurpSuite抓包,并提交订单,把金额修改为1
看样子修改金额的方案是失败了
使用备用方案,修改商品数量为-1
5:停止Burp抓包,检查一下账户
看到下单成功
并且网站还倒贴我一部手机钱
补充:这里主要是想多演示一下使用后台管理员修改其他账户,其实张三0元开局也可以
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134395.html
