crAPI漏洞靶场与解题思路
1.先决条件* 1.1 了解crAPI
1.2 环境搭建1.3 API分类识别2. 漏洞验证* 2.1 对象级授权关闭
* 挑战1:获取其他用户的车辆详细信息
挑战2:访问其他用户的机器报告2.2 用户身份验证被破坏* 挑战3:重置其他用户的密码
2.3 数据泄露过多*挑战四:寻找泄露其他用户敏感信息的API接口
挑战5:查找泄露内部视频属性的API 接口2.4 资源不足和速率限制* 挑战6:使用“Contact Mechanic”功能完成第7 层DoS
2.5 无效的功能级别认证*挑战7:删除其他用户的视频
2.6 批量分配/批量分配/自动绑定漏洞* 挑战八:免费获取物品
挑战9:增加余额1000多元挑战10:更新内部视频属性2.7 SSRF*挑战11:启用crAPI向“www.baidu.com”发送HTTP调用并返回HTTP响应
2.8 NoSQl注入*挑战12:想办法在不知道优惠券代码的情况下获得免费优惠券
三、总结
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91728.html
