未经许可,不得转载。
文章目录
-
-
- 正文
-
正文
某在线游戏平台,在开始测试时,我访问了 /profile 页面(个人资料页面),然后查看 Burp 历史记录,想查看有多少隐藏的请求。
可以看到一个HTTP 的 OPTIONS 方法的请求包:
从图中看到,该请求包含两个参数:player_id_or_name(用户的 ID 或姓名),以及event(游戏名称)
接着,我将请求发送到 Repeater,并将请求方法从OPTIONS更改为GET,发包后,我能够检索我玩过的所有游戏的列表。
然后,我将自己的用户名更改为其他用户的用户名,同样也可以检索他们的数据。
数据包括:
1、玩家 ID
2、比赛时间
2、结果(赢或输)
3、比赛风格
4、游戏
