Кавычка
@webpwn
Помнишь что такое Http Parameter Pollution?
Ну когда передаешь несколько параметров с одним именем, например, сайты на IIS забавно реагируют на такие данные. Они соединяют все переданные значения через запятую. К примеру, сайт пишет содержимое параметра
На странице покажет
А если передадим несколько параметров с одним именем
На страницу попадет
Так о чем это я
В
Еще нет такого плагина для burp suite? 🤔
#XSS #IIS #ASP
Ну когда передаешь несколько параметров с одним именем, например, сайты на IIS забавно реагируют на такие данные. Они соединяют все переданные значения через запятую. К примеру, сайт пишет содержимое параметра
id на страницу:site.com/page.asp?id=AAНа странице покажет
<input name="id" value="AA">А если передадим несколько параметров с одним именем
site.com/page.asp?id=AA&id=BB&id=CCНа страницу попадет
<input name="id" value="AA, BB, CC">Так о чем это я
В
ASP/ASP.NET часто бывает, что фильтрация пользовательских данных происходит только в первом элементе, поэтому важно попробовать дублировать параметры запроса и передавать атакующие пэйлоады уже туда.Еще нет такого плагина для burp suite? 🤔
#XSS #IIS #ASP
13 5.5K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram