Skip to content

【建议】避免删除功能等敏感操作接口直接运行 #41

New issue
New issue
Open
Open
【建议】避免删除功能等敏感操作接口直接运行#41
Labels
enhancementNew feature or request
@osxtest

Description

@osxtest
osxtest
opened on Aug 15, 2021

描述错误
一些 js 里可能会包含一些删除数据的接口,若这些接口刚好存在未授权,就可能导致数据误删。例如接口

https://foo.bar/Filter/delFilterById
https://foo.bar/comment/delete
https://foo.bar/product/delProductLine

建议

  • API提取 时添加 黑名单关键词 如 del, remove。可以多加些敏感操作的关键词,目的是宁可误报也不漏报
  • 参数提取 时正常解析,但是不做任何发包与漏洞检测
  • 最后报告输出时添加类似 敏感操作接口解析 的结果,让用户自行复制数据包测试,即使误报了也有数据保留

Metadata

Metadata

Assignees

No one assigned

    Labels

    enhancementNew feature or request

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions