摘要: 逻辑漏洞挖掘1工具:抓包工具2思路:复杂灵活3核心:绕过真实身份认证或者正常业务流程达到预期目的。4用户身份:认证 用户身份特性认证 本地认证 服务端认证5业务流程:对业务流程熟悉程度(各类型的网站,业务模式) 根据具体的业务确定漏洞模型。6逻辑漏洞类型: 支付漏洞:价格 数量,订单,结算,优惠券重 阅读全文
posted @ 2017-12-15 17:54 菜就多练forever 阅读(1347) 评论(0) 推荐(0) 编辑
摘要: 大漏洞时代下的僵尸网络追踪 僵尸网络组建:(三板斧) 1,弱口令 telnet、ssh、物联网设备,网络设备3306,1433,4899,3389,。。。爆破成功后,会切换/tmp目录执行命令wget某个文件,然后赋予执行权限,然后执行。扫描数据库,链接后,使用mof,udf提权完后dumpfile 阅读全文
posted @ 2017-12-15 17:53 菜就多练forever 阅读(278) 评论(0) 推荐(0) 编辑