摘要:
##1.验证码爆破&短信轰炸&空值绕过 空值绕过就没必要阐述了,后面两个究其原因就是没有对“次数”做限制,直接爆破或者抓包一直重放即可。 ##2.如果做了限制,并发绕过。 抓包,用turbo intruder插件进行并发 ##3.删除cookie进行绕过 有些奇葩nc开发会根据cookie判断是否发 阅读全文
posted @ 2022-07-29 04:16
猫鳍
阅读(300)
评论(0)
推荐(0)
摘要:
OFCMS 1.1.2后台存在Freemarker模板命令注入漏洞 漏洞描述 OFCMS 是Java 版CMS系统。功能:栏目模板自定义、内容模型自定义、多个站点管理、在线模板页面编辑等功能、代码完全开源、MIT授权协议。 OFCMS 1.1.3之前的版本使用Freemarker作为模板引擎,然而开 阅读全文
posted @ 2022-07-29 03:57
猫鳍
阅读(452)
评论(0)
推荐(0)
摘要:
WebGoat8实验笔记 1 WebGoat8实验 1.1通过XXE读取系统文件 我们借用页面的评论功能实施XXE注入攻击,目的是“任意文件读取”。 使用BurpSuite抓取一个发送评论的请求包如下。可以发现,在发送评论时,访问的接口是“POST /WebGoat/xxe/simple”。HTTP 阅读全文
posted @ 2022-07-29 03:46
猫鳍
阅读(180)
评论(0)
推荐(0)
浙公网安备 33010602011771号