Добрый день! Я совсем новичок, ничего не понимаю во взломе, но люблю играться с адресной строкой на известных сайтах. Иногда меняю параметры HTTP запросов, чтобы найти какие-то фичи.

Например на hh.ru, если поменять стандартную ссылку переговоров с работодателем

https://hh.ru/applicant/negotiations...cId=5343423134

на

https://hh.ru/applicant/negotiations/item?topicId=-1 (любое отрицательное значение, после "="), то выдаст ошибку "Что-то пошло не так";


Если же после "=" писать любые другие числа или текст, будет выдавать стандартную ошибку 404

Кто-нибудь может объяснить почему так происходит и является ли это уязвимостью? Можно ли что-то таким образом найти? Я просто совсем ничего не понимаю в программировании и хакинге и не знаю другого способа взаимодействия с сервером кроме как через адресную строку.

Есть ли какая-нибудь подробная литература по GET и POST запросам? С чего мне начать? Хочу искать уязвимости.

че ни ответа ни привета, сдулись все хакеры штоль?

Начните с этого.

https://habr.com/company/simplepay/blog/258499/

Начал, описание понятное, но как это делать самому? есть мануал с пошаговой инструкцией?

где вы, милые хакеры?

скорее всего тебе поможет только гугл, а для начала отличный топик с ключевыми словами уже скинули

Дак почти все есть на данном форуме, он думает ему тут все на полочке разложат)

Если человек не ориентируется на форуме, то в хакинге и пентесте ему делать нечего.

А ее можно использовать как-то для взлома?

Ну вообще извлечь пользу из этой ошибки. Я в этом не разбираюсь

ТС, почему бы вам не пойти на курсы по программированию, толку больше будет) Начнете хоть основные понятия понимать)

Зачем мне тратить деньги на курсы, когда все что говорят на курсах есть в интернете. Просто хочу, чтобы ссылки на литературу скинули. Я так и не нашел нормальный объем литературы по http запросам.

затем, что грамотные курсы первым делом научат вас гуглить информацию

это ключевой навык(наряду со знанием английского)

а дальше все ваши вопросы сойдут на нет

А зачем тогда этот форум нужен, если все "умеют гуглить информацию".

там где тебя нет

Форум нужен чтобы зайти сюда утром пустить слезу и уйти на завод

На длинном и кудрявом?

Смеялись всей маршруткой

Купите книгу по Веб программированию и все вопросы отпадут сами собой.

А если по делу то ты в адресную строку пихаешь хер пойми что и тебе об этом сообщают. Никакая это не уязвимость и не баг.

а что же вы такие продвинутые кодеры на маршрутках ездите? уже свой авто должен быть

Во-первых, не ожидай, что на топовых ресурсах будет скуля прям так в открытую. А во-вторых, сейчас уже не 2007ой год и понятие SQL-инъекций, инклудов уже отжило себя. Всё секурно нынче.

Очень смелое заявление

Параметры, которые ты меняешь в адресной строке, взаимодействуют с базой данных. Чаще всего они фильтруются (как в твоем случае), т.е. обрабатываются программистом, чтобы исключить ввод непреднамеренных данных. Если же нет, то есть вероятность sql-инъекции - https://habr.com/post/148151/

Тебе дали правильный ответ 2 месяца назад. Если ты продолжаешь обсуждать длинные с кудрявыми, вместо того чтобы читать интернет, который завален нужной тебе информацией, значит тебе недостаточно интересно, либо ты ограничен в интеллектуальных способностях. Делай выводы.

1. Арендуешь самый дешевый хостинг с поддержкой php + mysql

2. Куришь основы php + mysql до тех пор, пока не начнешь понимать что происходит.

3. Читаешь десяток статей на тему sql-инъекций.

4. Повторяешь ошибки из прочитанных статей на своем хостинге.

5. Пытаешься повторить ошибки на малоизвестных и непопулярных сайтах.

Что реально смешно, ты уже продолжительное время повторяешь одни и те же действия, надеясь на разный результат. Как в твоем представлении выглядит кульминация взлома? Ты меняешь число 1 на 0 и тебе выводится сообщение: "Здравствуйте! Спасибо, что взломали наш сайт. Все пароли в списке ниже..."?