mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
967 B
967 B
Ruby _json pollution
{{#include ../../banners/hacktricks-training.md}}
Bu, https://nastystereo.com/security/rails-_json-juggling-attack.html adresinden alınan bir özet.
Temel bilgiler
Bir gövdeye, bir dizi gibi hashlenemez bazı değerler gönderildiğinde, bunlar _json adlı yeni bir anahtara eklenecektir. Ancak, bir saldırganın gövdeye istediği keyfi değerlerle _json adlı bir değer de ayarlaması mümkündür. Ardından, örneğin arka uç bir parametrenin doğruluğunu kontrol ederse ancak _json parametresini bir eylem gerçekleştirmek için de kullanırsa, bir yetkilendirme atlatması gerçekleştirilebilir.
{
"id": 123,
"_json": [456, 789]
}
Referanslar
{{#include ../../banners/hacktricks-training.md}}