JSON可以有很多形式,例如数组,列表,哈希表和其他数据结构.JSON广泛用于AJAX和Web2.0应用程序,并且由于其易用性和速度而受到程序员对XML的青睐.但是,JSON和XML一样容易受到注入攻击...在页面定位到提交按钮,发现,点击按钮触发processData()函数,通过页面搜索,找到这个函数的位置,可知,它用来判断输入,来与后台交互
?
?...0x08 Insecure Client Storage(不安全的客户端存储)
原理:将验证机制留在客户端,从客户端进行验证码等验证。
目标:寻找优惠券的代码并利用客户端验证提交成本为0的订单。...1.寻找优惠券代码
定位到输入框的位置,发现,存在一个键盘事件,会使用AJAX后台检测输入,
?
定位到form表单处,看到触发事件的位置是一个JS文件
?...设置断点,然后随便输入一个数字,提交这东西貌似就是我们要找的,试一下
?
成功
?
2.尝试免费获取整个订单
将所有价格在页面改为0,然后输入数量
?
成功
?