11.16

@所有人 网络安全C10-2024.11.17

作业：

1. 水平越权&垂直越权漏洞实验

水平越权

垂直越权

1. 密码修改逻辑漏洞实验

3、验证码安全

（1）验证码绕过（on client）+ 验证码绕过（on server）

在client于server中由于验证码在使用后没有即使的在服务器段刷新或者作废，所以可以重复使用

1. 验证码绕过（on server）实验中，为什么burp拦截开启的状态下，通过Repeater进行重放不会刷新验证码，关闭拦截后才会刷新验证码？

在拦截开启的情况下，在pikachu靶场中验证码是用两个包来刷新验证的，一个验证用户，另一个刷新验证码，在burp抓到第一个包时，第二个包一直在被burp拦截住的，使服务器端一直刷新不到新的验证码，且之前的验证码并没有作废，使得在服务器端可以一直使用，给工具着可以爆破绕过的机会。

1. CTFhub：SQL注入靶场，分别完成手工注入和Sqlmap工具注入的过程

手工注入

Sqlmap

预习：在虚拟机中分别安装Kali、Win7、Windows XP操作系统，为下周课程实验做准备

预习资料：https://msdn.itellyou.cn/