如何寻找隐藏的参数
正文
场景:
在登录/注册页面的源代码里面尝试搜索hidden,redirect和return等关键字眼
可以尝试自己添加参数
看一个例子:
1.原来的页面:
2.改变之后:
尝试重定向参数时,尝试将.evil.com
添加到域的末尾。使目标站点成为子域并重定向到evil.com
复制隐藏参数 在登录界面的源代码里面也发现了一些隐藏参数,方法同上,但是这里不允许重定向
其实在登录界面上发现的参数也极有可能是用于在同一站点上退出或者是重定向的常用参数,可以将参数添加至登出url的末尾
利用重定向来干扰
点击登录之后,可能会重定向至另外一个页面去登录,这里可以发现有个重定向的参数redirect_url
通过发现隐藏的参数可以发现一些隐藏的信息
更多请看星球