Ataques de asignación masiva (Mass-Asignment Attack) o Parameter Binding - Hacking Notes
Índice
- [[#Ver si es vulnerable]]
- [[#Añadir un nuevo campo]]
Ver si es vulnerable
Si en la petición que mandamos no estamos mandando los mismos campos que nos dice en la respuesta al registrarnos, es posible que sea vulnerable
Añadir un nuevo campo
- Ejemplo 1
Metemos un nuevo campo en la petición de JSON con un campo que hemos visto en la respuesta
- Ejemplo 2
En este caso hemos tenido que emplear “fuerza bruta” manualmente, ya que no conocemos el campo el cual nos da privilegios