Correo electrónico de fuerza bruta en formato JSON

Question

Correo electrónico de fuerza bruta en formato JSON

#1 de Gewure (0 votos)

1

Tengo un parámetro

args=[490114,{"user_login":"[email protected]","":"","perm":"view","partners":[],"event_labels":[]}]

en la solicitud HTTP pero en el formato codificado.

Quiero forzar el uso de este correo electrónico mediante burpsuite, pero recibo una solicitud incorrecta del código de error 400. Los pasos reproducibles son:

Intercepto la solicitud con burpsuite y envío los parámetros (args) al intruso, y solo elijo
Copio y pego la carga útil varias veces cambiando solo el valor del correo electrónico en la carga útil (para probar la operación)
Lanzar el ataque

Pero recibo el código de error 400 mal pedido. No sé por qué.

brute-force web-service json burp-suite

pregunta Mohamed Osama 06.03.2017 - 18:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas brute-force web-service json burp-suite

¿Marcos múltiples para evaluaciones de riesgo? Problema clave de la cuenta de Yahoo [cerrado]

score 0 · Accepted Answer

El código de error 400 significa que la solicitud tuvo un formato incorrecto. Esto significa que la solicitud enviada por el cliente (usted, usando burpsuite) al servidor no se ajustó a las 'reglas' de http.

En el caso de una API REST con una carga de JSON, los 400 se utilizan normalmente para indicar que el JSON no es válido de alguna manera según la especificación de la API para el servicio. Que no proporcionaste en tu pregunta. Tal vez si usted da algo más de información, puedo responder más detalladamente. Mientras tanto, supongo que el 400 es un comportamiento correcto que indica que esta solicitud tiene un formato incorrecto de alguna manera no específica . I think 400 es la respuesta prevista para un correo electrónico inexistente en esta solicitud JSON.