码迷,mamicode.com
首页 > Web开发 > 详细

【WebGoat习题解析】AJAX Security->Insecure Client Storage

时间:2016-12-27 00:08:24      阅读:246      评论:0      收藏:0      [点我收藏+]

标签:get   ima   value   blog   src   oat   通过   利用   his   

绕过前端验证可以通过两种办法:一是利用开发者工具进行debug;二是利用burpsuite直接抓取。本题解决思路如下:

STAGE 1: For this exercise, your mission is to discover a coupon code to receive an unintended discount.

1、进入AJAX Security->Insecure Client Storage题目后,打开开发者工具定位元素

技术分享

2、拷贝方法,即“isValidCoupon”,进入Sources的js文件里进行查找

技术分享

3、在if(coupon == decrypted){ 处打个断点;在抓取的输入框内输入任意字符后,进行debug

技术分享

4、连续点击三角符号,并将watch里获取的value拷贝下来粘贴至文本文件里

**利用debug方法可以获取值,甚至传输对应值

技术分享

5、移除断点,并将获取的coupon键入输入框并提交。这样misson 1就完成了

技术分享

STAGE 2: Now, try to get your entire order for free.

 1、利用burp拦截提交的请求

 技术分享

2、找到对应的值,并把支付金额改为0后,点击“forward”

 技术分享

3、至此misson 2页完成了

技术分享

 

【WebGoat习题解析】AJAX Security->Insecure Client Storage

标签:get   ima   value   blog   src   oat   通过   利用   his   

原文地址:http://www.cnblogs.com/lauren1003/p/6224150.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!