[問題] 在Burp學院裡的一題(SSRF)
大家好~
最近在玩Burp學院裡的一些題目~
其中有一題的解payload看不太懂
想請教大家~
題目網址:
https://portswigger.net/web-security/ssrf/lab-ssrf-with-whitelist-filter
裏頭有個有SSRF漏洞的地方,
他會過濾參數stockApi值網址不為stock.weliketoshop.net的
他的payload如下:
http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos
其中
%2523為'#'字號的Double Encoding
所以沒有過濾字元的話payload會像是:
http://localhost:80#@stock.weliketoshop.net/admin/delete?username=carlos
看不懂的地方是@前面的部分
@前面代表userinfo (localhost:80#)
所以請問這個是使用者localhost,密碼為80?
怎麼看都不太像,localhost指的是網址吧,80就是HTTP的port
還有#這個出現在這裡是甚麼意思....
照理說不是frame,應該是資源相關的附在網址的最後面嗎?
小的程度很差,還請各位大大解釋一下XD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.140.1.243 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1591725393.A.A88.html
→
06/10 06:18,
3年前
, 1F
06/10 06:18, 1F
→
06/10 18:47,
3年前
, 2F
06/10 18:47, 2F
→
06/10 19:11,
3年前
, 3F
06/10 19:11, 3F
→
06/10 19:13,
3年前
, 4F
06/10 19:13, 4F
→
06/10 19:13,
3年前
, 5F
06/10 19:13, 5F
→
06/10 19:15,
3年前
, 6F
06/10 19:15, 6F
→
06/10 19:15,
3年前
, 7F
06/10 19:15, 7F
→
06/10 22:10,
3年前
, 8F
06/10 22:10, 8F
→
06/10 22:10,
3年前
, 9F
06/10 22:10, 9F
推
06/13 08:12,
3年前
, 10F
06/13 08:12, 10F
→
06/13 08:13,
3年前
, 11F
06/13 08:13, 11F
→
06/13 08:14,
3年前
, 12F
06/13 08:14, 12F
→
06/13 08:15,
3年前
, 13F
06/13 08:15, 13F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 2 篇):