如何寻找隐藏的参数

正文

场景:

在登录/注册页面的源代码里面尝试搜索hidden,redirect和return等关键字眼

可以尝试自己添加参数

看一个例子:

1.原来的页面:

2.改变之后:

尝试重定向参数时，尝试将.evil.com添加到域的末尾。使目标站点成为子域并重定向到evil.com

复制隐藏参数 在登录界面的源代码里面也发现了一些隐藏参数，方法同上，但是这里不允许重定向

其实在登录界面上发现的参数也极有可能是用于在同一站点上退出或者是重定向的常用参数，可以将参数添加至登出url的末尾

利用重定向来干扰

点击登录之后，可能会重定向至另外一个页面去登录，这里可以发现有个重定向的参数redirect_url

通过发现隐藏的参数可以发现一些隐藏的信息

更多请看星球

往期回顾

一款bp神器

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips