招聘网站的测试思路

思路适用于大部分招聘网站,碰到了就是漏洞。

20240502152131148-图片

这里有限制,一个月只能申请5次

这里就存在漏洞点了 既然它限制我一个月内只能投递5份 那我突破他的那个限制,投递七八份 甚至十几份那么这就存在漏洞了。

说干就干

在个人主页完善简历

20240502152540222-图片

在bp历史流量中发现有投递职业的限制。

来到主页面,点击社会招聘,选择不同职位收集其职位ID。

20240502152626288-图片

20240502152642379-图片

url参数中的positionId便是职位ID,建议收集10个不同岗位的职位ID。

职位ID字典如下:

20240502152725721-图片

利用并发漏洞投递简历

来到主页面,点击社会招聘,选择任意职位了解详情。

20240502152747774-图片

点击确定按钮,拦截提交简历的HTTP请求包。

20240502152817793-图片

将此请求包发送至Turbo intruder插件,加载相应positionId字典。

20240502152854951-图片

20240502152910214-图片

验收结果

此时再投递任一岗位,提示如下:你已申请22个职位,本月不能再申请!

20240502152936799-图片

20240502153003958-图片

 

------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞14 分享
评论 共19条
头像
善语结善缘,恶语伤人心
提交
头像

昵称

取消
昵称常用语 夸夸
夸夸
还有吗!没看够!
表情图片
    • 头像Norris Heathcote0
    • 头像Clemmie Lakin0
    • 头像Michelle Daniel0
    • 头像Shakira Oberbrunner0
    • 头像Crawford Krajcik0
    • 头像Lauriane Wunsch0
    • 头像Misael Casper0
    • 头像Dayne Lynch0
    • 头像Maddison Hodkiewicz0
    • 头像Wilhelm Murray0
    • 头像Adeline Dibbert0
    • 头像Bennie Cronin0
    • 头像Humberto Bode0
    • 头像Catherine Labadie0
    • 头像Shakira Hand0
    • 头像Terrence Schoen0
    • 头像Walker Hahn0
    • 头像Verner Yost0
    • 头像Zechariah Bode0