论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[14808] 2019-11-12_看我如何通过参数污染绕过IDOR
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
IOT
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2019-11-12_看我如何通过参数污染绕过IDOR
看
我
如
何
通
过
参
数
污
染
绕
过
I
D
O
R
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
1
9
-
1
1
-
1
2
在
一
次
渗
透
测
试
过
程
中
,
我
偶
然
间
发
现
了
一
个
有
趣
的
在
一
次
渗
透
测
试
过
程
中
,
我
偶
然
间
发
现
了
一
个
有
趣
的
I
D
O
R
(
不
安
全
的
直
接
对
象
引
用
)
漏
洞
,
通
过
使
用
参
数
污
(
不
安
全
的
直
接
对
象
引
用
)
漏
洞
,
通
过
使
用
参
数
污
染
技
术
(
利
用
一
个
被
忽
略
的
测
试
用
例
)
,
攻
击
者
将
能
够
成
功
地
在
目
标
站
点
上
实
现
染
技
术
(
利
用
一
个
被
忽
略
的
测
试
用
例
)
,
攻
击
者
将
能
够
成
功
地
在
目
标
站
点
上
实
现
I
D
O
R
绕
过
。
绕
过
。
当
时
,
我
尝
试
在
目
标
应
用
程
序
所
部
属
的
R
E
S
T
A
P
I
中
寻
找
I
D
O
R
漏
洞
,
但
不
幸
的
是
,
目
标
站
点
中
没
有
一
个
节
点
存
在
传
统
的
I
D
O
R
漏
洞
。
不
过
,
经
过
我
的
一
番
努
力
,
我
发
现
通
过
多
次
提
供
相
同
的
参
数
名
,
并
且
使
用
不
同
的
参
数
值
,
我
们
就
可
以
在
目
标
应
用
上
成
功
实
现
I
D
O
R
绕
过
了
。
接
下
来
,
我
将
跟
大
家
介
绍
如
何
使
用
参
数
污
染
技
术
来
实
现
接
下
来
,
我
将
跟
大
家
介
绍
如
何
使
用
参
数
污
染
技
术
来
实
现
I
D
O
R
绕
过
。
绕
过
。
假
设
我
们
的
账
号
的
U
s
e
r
I
D
为
1
2
3
,
为
了
测
试
I
D
O
R
,
我
们
可
以
将
U
s
e
r
I
D
的
值
从
之
前
的
1
2
3
修
改
为
另
一
个
用
户
账
号
的
U
s
e
r
I
D
-
4
5
6
。
如
果
目
标
应
用
程
序
不
存
在
传
统
的
I
D
O
R
漏
洞
,
那
么
我
们
将
会
接
收
到
“
4
0
1
未
认
证
”
的
状
态
提
示
。
此
时
,
为
了
实
现
I
D
O
R
绕
过
,
我
们
需
要
使
用
参
数
污
染
技
术
,
即
传
递
两
个
U
s
e
r
I
D
参
数
,
其
中
一
个
包
含
目
标
账
号
的
U
s
e
r
I
D
,
另
一
个
参
数
需
要
包
含
你
账
号
的
U
s
e
r
I
D
。
下
图
显
示
的
是
我
们
所
发
送
的
样
本
请
求
:
下
图
显
示
的
是
我
们
所
发
送
的
样
本
请
求
:
在
渗
透
测
试
的
过
程
中
,
我
也
遇
到
了
类
似
的
场
景
。
我
的
测
试
目
标
是
一
个
R
E
S
T
A
P
I
节
点
,
这
个
应
用
程
序
节
点
表
现
出
了
以
下
行
为
:
1
、
检
测
第
一
个
U
s
e
r
I
D
参
数
;
2
、
发
送
请
求
的
用
户
需
要
在
G
E
T
请
求
中
包
含
他
们
的
U
s
e
r
I
D
;
在
这
样
的
场
景
下
,
我
们
只
需
要
在
原
请
求
的
基
础
上
,
增
加
至
两
个
U
s
e
r
I
D
参
数
就
可
以
实
现
I
D
O
R
绕
过
了
。
其
中
的
第
一
个
U
s
e
r
I
D
就
是
目
标
用
户
账
号
的
U
s
e
r
I
D
,
另
一
个
就
是
攻
击
者
账
号
的
U
s
e
r
I
D
,
这
样
一
来
,
我
们
就
可
以
欺
骗
目
标
应
用
程
序
并
让
它
认
为
我
们
所
发
送
的
是
一
个
真
实
的
合
法
请
求
了
。
我
账
户
的
个
人
资
料
会
显
示
我
的
全
名
以
及
其
他
相
关
信
息
,
但
这
些
信
息
不
会
显
示
给
其
他
的
用
户
。
我
们
所
构
造
的
恶
意
请
求
中
需
要
包
含
我
账
号
的
U
s
e
r
I
D
,
需
要
注
意
的
是
,
我
在
这
里
做
了
大
多
数
渗
透
测
试
人
员
都
会
做
的
事
情
,
也
就
是
将
请
求
中
的
U
s
e
r
I
D
修
改
为
了
另
一
个
用
户
账
号
的
U
s
e
r
I
D
。
但
不
幸
的
是
,
啥
也
没
有
发
生
…
而
且
我
还
接
收
到
了
一
个
4
0
1
未
授
权
错
误
,
简
直
悲
剧
!
下
图
显
示
的
是
无
法
绕
过
传
统
下
图
显
示
的
是
无
法
绕
过
传
统
I
D
O
R
的
请
求
信
息
:
的
请
求
信
息
:
考
虑
到
参
数
污
染
技
术
的
实
现
,
我
尝
试
在
测
试
样
例
(
请
求
)
中
添
加
了
我
自
己
的
U
s
e
r
I
D
参
数
以
及
目
标
用
户
的
U
s
e
r
I
D
,
并
以
此
来
尝
试
访
问
目
标
用
户
的
个
人
资
料
。
想
必
大
家
也
猜
到
了
,
这
一
次
我
成
功
了
!
想
必
大
家
也
猜
到
了
,
这
一
次
我
成
功
了
!
下
图
显
示
的
是
我
们
利
用
参
数
污
染
技
术
构
建
的
下
图
显
示
的
是
我
们
利
用
参
数
污
染
技
术
构
建
的
I
D
O
R
绕
过
请
求
:
绕
过
请
求
:
没
错
,
通
过
结
合
参
数
污
染
技
术
构
造
出
来
的
恶
意
请
求
,
我
成
功
拿
到
了
目
标
用
户
的
全
名
以
及
很
多
不
会
公
开
的
敏
感
信
息
。
不
仅
如
此
,
由
于
几
乎
目
标
应
用
程
序
的
所
有
参
数
都
无
法
抵
御
这
种
攻
击
,
因
此
这
种
安
全
问
题
将
会
给
这
个
应
用
程
序
带
来
“
毁
灭
性
”
的
打
击
。
*
参
考
来
源
:
参
考
来
源
:
m
e
d
i
u
m
,
,
F
B
小
编
小
编
A
l
p
h
a
_
h
4
c
k
编
译
,
转
载
请
注
明
来
自
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT