Cookie Arena Writeup: Mass Assignment Profile
Exploit parameter verified in Web Server.
Cookie Arena Writeup: Mass Assignment Profile
Overview
Khi sử dụng alice:alice thì ta có thể login vào web service, trong đó có 3 fields có thể được update. Và có 1 dòng chữ khiến tôi chú ý đó là Flag: You are not admin, so you cannot see the flag.
Khi tôi update thì tôi sẽ nhận được 3 parameter gửi qua method POST là fullname, address, phone
Vậy nếu bây giờ tôi thêm fields bất kì vào thì sao?
Tại sao tôi lại nghĩ thế đó là vì trên thông tin cơ bản của người dùng ta có rất nhiều rows thông tin khác ngoài 3 parameter trên.
Exploit
Đó và nó hoàn toàn hợp lệ!!
Happy hacking
This post is licensed under CC BY 4.0 by the author.