exploit - 有谁知道这样的编程语言/网络框架解析参数?
问题描述
在做漏洞赏金时。有一个网站具有跟随 GET 之类的功能example.com/lookup?users=["username1", "username2"]
,然后它将用户数据作为 JSON 返回。
该users
参数看起来很可疑。其行为如下:
users=["username"] => 200
users=['username'] => 500
users=[username] => 500
users="username" => 200
users='username' => 500
users=username => 500
users= => 500
users=[] => 200
我怀疑它eval
用于解析后端的参数值。问题是我不知道它在后端使用什么编程语言。
您对这个案例有什么建议吗?
解决方案
推荐阅读
- node.js - 节点服务器重新启动后保持套接字处于活动状态
- vue.js - 模态窗口不显示
- c# - 如何将参数传递给 LINQ where 条件动态
- node.js - 带有距离的Mongodb过滤器不起作用
- java - VAADIN:具有重复文件名的 StreamResource 使用旧的 StreamResource
- sql - 按区域访问扩展工作表
- python - DataFrame.to_csv 抛出错误“[Errno 2] 没有这样的文件或目录”
- ruby-on-rails - 乐观锁定是否适用于使用 update_all 中的 updated_at 属性的以下代码?
- dart - Flutter - 删除飞镖中的转义序列
- java - 添加对象 onStartPage itextPdf 除了最后一页