HackTricksRuby _json besoedeling
tip
Leer en oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Dit is 'n opsomming van die pos https://nastystereo.com/security/rails-_json-juggling-attack.html
Basiese inligting
Wanneer 'n liggaam gestuur word, sal sommige waardes wat nie hashable is nie, soos 'n array, by 'n nuwe sleutel genaamd _json gevoeg word. Dit is egter moontlik vir 'n aanvaller om ook 'n waarde genaamd _json in die liggaam in te stel met die arbitrêre waardes wat hy wil. Dan, as die agterkant byvoorbeeld die waarheidsgetrouheid van 'n parameter nagaan, maar dan ook die _json parameter gebruik om 'n aksie uit te voer, kan 'n magtiging oorgang uitgevoer word.
{
"id": 123,
"_json": [456, 789]
}
Verwysings
tip
Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.