实验:利用HTTP请求走私,执行Web缓存欺骗beplay体育能用吗
此实验室涉及前端和后端服务器,前端服务器不支持Chunked Encoding。前端服务器正在缓存静态资源。
要解决实验室,请执行请求走私攻击,以使下一个用户的请求导致其API键保存在缓存中。然后从缓存中检索受害者用户的API密钥,并将其提交为实验室解决方案。在尝试欺骗受害者之前,您需要等待30秒从访问实验室进入缓存其API密钥。
您可以使用以下凭据登录您自己的帐户:维纳:彼得
笔记
该实验室模拟了受害者用户的活动。您对实验室的每一张发布请求,受害者用户都将自己的要求。您可能需要重复您的攻击几次以确保根据需要进行受害者的请求。
提示
手动修复请求走私攻击的长度字段可能很棘手。我们的http请求走私者Burp Extension旨在帮助。您可以通过BAPP商店安装它。