摘要:
XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWA 阅读全文
posted @ 2020-03-30 22:07
ApricityJ
阅读(744)
评论(0)
推荐(0)
摘要:
首先,token并不能防爆破 我们观察源代码(工具 Web开发者 Firebug 打开Firebug),点击login提交时,页面不仅提交username和password,还提交了一个hidden属性的token值(每次提交要验证token值(每次更新),表面上可以防止暴力破解,但后端每次产生的t 阅读全文
posted @ 2020-03-30 16:43
ApricityJ
阅读(2808)
评论(0)
推荐(0)
摘要:
验证码绕过(on client)的暴力破解 验证码输入正确、为空、输入错误页面如下: 什么都不输入或只输入用户名和密码点击登录,页面弹出“请输入验证码!”的提示框,而不是用户名和密码不存在 我们查看源码,输入的验证码在本地验证,我们可以在burp suite不输入验证码或者输入错的验证码完成爆破 b 阅读全文
posted @ 2020-03-30 15:09
ApricityJ
阅读(811)
评论(0)
推荐(0)
摘要:
验证码绕过(on server)的暴力破解 当验证码输入正确、为空和输入错误会是以下3种情况: 绕过的思路就是观察产生的验证码有没有过期设置(即用过一次就会刷新),如果没有默认的session就是24min刷新: 我们查看一下源码,验证码在服务器端被验证,并且验证码不会过期,就算页面刷新验证码刷新, 阅读全文
posted @ 2020-03-30 14:33
ApricityJ
阅读(1142)
评论(0)
推荐(0)
摘要:
Burte Force(暴力破解)概述 “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是 阅读全文
posted @ 2020-03-30 13:20
ApricityJ
阅读(817)
评论(0)
推荐(0)
摘要:
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 需下载的资源: pikachu源码下载地址:下载地址:https://github.com/zhuifengshaonianhanlu/pikachu 下载地址2:https://pan.baidu.com/s/1Jp 阅读全文
posted @ 2020-03-30 12:50
ApricityJ
阅读(804)
评论(0)
推荐(0)
摘要:
下载安装Burpsuite: 安装burpsuite需要java环境,没有java环境的可以找度娘看看教程 链接: http://www.pc6.com/softview/SoftView_619102.html 或者: 链接:https://pan.baidu.com/s/12u_vM_ou3_j 阅读全文
posted @ 2020-03-30 12:23
ApricityJ
阅读(254)
评论(0)
推荐(0)
浙公网安备 33010602011771号