Packer-Fuzzer icon indicating copy to clipboard operation
Packer-Fuzzer copied to clipboard

Published 20 hours ago verified publisher icon rtcatc

【建议】避免删除功能等敏感操作接口直接运行

Open osxtest opened this issue 3 years ago • 0 comments

描述错误 一些 js 里可能会包含一些删除数据的接口,若这些接口刚好存在未授权,就可能导致数据误删。例如接口

https://foo.bar/Filter/delFilterById
https://foo.bar/comment/delete
https://foo.bar/product/delProductLine

建议

  • API提取 时添加 黑名单关键词 如 del, remove。可以多加些敏感操作的关键词,目的是宁可误报也不漏报
  • 参数提取 时正常解析,但是不做任何发包与漏洞检测
  • 最后报告输出时添加类似 敏感操作接口解析 的结果,让用户自行复制数据包测试,即使误报了也有数据保留

osxtest avatar Aug 15 '21 08:08 osxtest