첫째,나 자신이 완전히 무슨 일이 있었 왜 이해하지 않는이 작업을 수행하지 않습니다하지만 어떻게 말해 보자 않았다. 그래서 무작위 펜 테스트 쓰기 업을 읽고 언제나처럼 트림 스위트와 함께 주위를 연주,나를 위해 정상적인 지루한 날이었다. 그 때 내가 건너 온 가장 이상한 버그를 발견했을 때,그것이 전혀 버그이거나 완전히 다른 것이라면. 그것은 나가 다만 한 무슨을에 관해서는 저를 깜짝 놀라게 했다 그러나 동시에 나는 안에서 두려워했다.
그래서,나는 내가 그 웹 사이트에 거짓 지불을 수행 할 수 있는지 확인하기 위해 노력했다 동시에이 기사를 읽고 있었다,의 가정 해 봅시다 example.com.지금 example.com/payment_login,웹 사이트의 지불 포털에 대한 로그인 페이지입니다. 펜 테스트를 할 때마다,회사가 자신의 홈 페이지를 무너 뜨리는 당신과 함께 괜찮을 수 있음을 명심하지만,결코 자신의 지불 포털. 그래서,나는 모든 사용자의 데이터를 가지고 어디 이미 이전에 자신의 시스템을 해킹했다,자격 증명 등이 로그인,내가 어떻게했는지 그것은 단지 때문에 기본 암호의 사용의 일어난 것을 알고 다른 시간에 대한 이야기입니다.
그 계정 중 하나를 사용하여,나는 웹 사이트에 로그인하고 실제 금액을 지불 할 필요없이 거래를 수행하기 위해 노력했다,또는 가능한 어떤 방법으로 조작. 나는 항상 거래와 놀고 사랑’나는 그 웹 사이트의 가장 중요한 부분 중 하나입니다 느낌 원인. 너가 저것을 장악하지 않으면,그때 너를 가장 단단한 명중하기 위하여 가고 있다.
그(것)들을 위해 운이 좋은,그들은 거래 페이지는 매우 안전했고 나는 간신히 버그를 발견 할 수 있었다,멀리 연삭 후 3 하루 시간. 다행히 나는 트림이 전체 시간을 설정했다.
운이 좋거나 그렇게 많지 않습니까?
트림 스위트는 내가 그 웹 사이트의 지불 포털에 내 펜 테스트를 들고 있었다 전체 시간에 켜져 있었다. 나는 그래서 나는 전체 시간에 트림의 대상 탭을 열어 결코 트림의 프록시 탭에서 절편을 통해 전송되는 된 패킷의 각각의 모든 부분을 보려고 노력에 집중했다.
낙담하고 좌절,나는 잠시 동안 펜 테스트를 중지하려고 할 때 난 그냥 대상 탭을 열고 큰 빨간 점을 보았다,웹 페이지에 존재하는 특정 취약점을 나타내는 나는 펜 테스트했다.
그 빨간 점을 볼 정말 매우 드문,웹 개발자의 대부분은 지금-일 자신의 웹 사이트에 같은 구멍을 두지 마십시오 원인. 나는 마침내 마침내 무언가를 발견하게되어 흥분했다. 사실 나는 빨간 점을보고 조금 놀랐습니다,나는 트림에 의해 문서화 자문 섹션에서 아래의 특정 취약점에 대한 모든 것을 읽어 보시기 바랍니다.
페이로드 생성
내가 그들과 모두를 인코딩하기 위해 뇌를 적용 할 필요가 없었기 때문에 꽤 쉬웠다. <,’및’와 같은 문자는 문제 섹션에 명시된 바와 같이 이미 허용되었습니다. 그래서 인터셉트 패킷을 중계기로 전송했는데,이 패킷은 페이로드와 중계기로 전달했을 때 얻은 응답이었습니다.