HackTricks
Ruby _json besoedeling
Tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die intekenplanne!
- Sluit aan by die 💬 Discord-groep, die telegram-groep, volg @hacktricks_live op X/Twitter, of kyk na die LinkedIn-bladsy en YouTube-kanaal.
- Deel hacking tricks deur PRs in te stuur na die HackTricks en HackTricks Cloud github repos.
Dit is ’n opsomming van die pos https://nastystereo.com/security/rails-_json-juggling-attack.html
Basiese inligting
Wanneer ’n liggaam gestuur word, sal sommige waardes wat nie hashable is nie, soos ’n array, by ’n nuwe sleutel genaamd _json gevoeg word. Dit is egter moontlik vir ’n aanvaller om ook ’n waarde genaamd _json in die liggaam in te stel met die arbitrêre waardes wat hy wil. Dan, as die agterkant byvoorbeeld die waarheidsgetrouheid van ’n parameter nagaan, maar dan ook die _json parameter gebruik om ’n aksie uit te voer, kan ’n magtiging oorgang uitgevoer word.
{
"id": 123,
"_json": [456, 789]
}
Verwysings
Tip
Leer & oefen AWS Hacking:
Leer & oefen GCP Hacking:
Leer & oefen Az Hacking:Ondersteun HackTricks
- Kyk na die intekenplanne!
- Sluit aan by die 💬 Discord-groep, die telegram-groep, volg @hacktricks_live op X/Twitter, of kyk na die LinkedIn-bladsy en YouTube-kanaal.
- Deel hacking tricks deur PRs in te stuur na die HackTricks en HackTricks Cloud github repos.