2018年6月13日
BurpSuite—-Sequencer模块(定序器)
摘要: 介绍:仅供技术交流学习探讨,请勿用于非法用途,。本文部分资源来源于网络,如有侵权请联系版主删除。 阅读全文
posted @ 2018-06-13 19:06 渔夫安全 阅读(820) 评论(0) 推荐(0) 编辑
BurpSuite—-Repeater模块(中继器)
摘要: 一、简介 Burp Repeater 是一个手动修改并补发个别 HTTP 请求,并分析他们的响应的工具。它最大的用途就是和其他 Burp Suite 工具结合起来。你可以从目标站点地图,从 Burp Proxy 浏览记录,或者从 Burp Intruder 攻击结果上的请求,发送到 Repeater 阅读全文
posted @ 2018-06-13 18:59 渔夫安全 阅读(1462) 评论(0) 推荐(0) 编辑
逻辑漏洞(1)
摘要: 逻辑漏洞 逻辑漏洞是一种业务逻辑上的设计缺陷,业务流存在问题。 这里说一下密码找回漏洞、多线程条件竞争漏洞和支付漏洞。 密码找回漏洞 1、 测试流程 先尝试正确的密码找回流程,记录不同找回方式的所有数据包 分析数据包,找到有效数据部分 推测数据构造方法 构造数据包验证猜测 2、 分类 * 邮箱找回 阅读全文
posted @ 2018-06-13 17:25 渔夫安全 阅读(489) 评论(0) 推荐(1) 编辑
2018年6月12日
aircrack-ng 破解无线网络
摘要: 1、科普当今时代,wifi 已成为我们不可缺少的一部分,上网、看视频、玩游戏,没有 wifi 你就等着交高额的流量费吧,本来我想单独的写 wpa 破解和 wps 破解,后来觉得分开写过于繁琐,索性合并在一起写吧,首先来科普一下网线网络的机密方式:wep 是 Wired Equivalent Priv 阅读全文
posted @ 2018-06-12 09:20 渔夫安全 阅读(1602) 评论(0) 推荐(1) 编辑
2018年6月11日
从防御角度看网络安全和社会工程学
摘要: 企业信息安全防御: 1.企业、政府员工安全意识非常差劲,各种弱密码(邮箱、管理系统)、各种敏感文件随意丢弃。 2.出现漏洞或者问题,第一时间是推卸责任,而不是整改问题。所以漏洞出现了,一般会经历很长时间去修改。 3.配置、加固方面做得不好,容易泄露某些敏感信息。比如某局的weblogic管理平台居然 阅读全文
posted @ 2018-06-11 10:03 渔夫安全 阅读(344) 评论(0) 推荐(1) 编辑
XSS的各种用途
摘要: 0x01 最常见之窃取用户cookie 当cookie没有设置HttpOnly属性时,可以通过javascript代码创建img,script,iframe等标签,并把src属性设置为自己部署的xss cookie接收平台,以url拼接document.cookie的形式把浏览页面的用户的cooki 阅读全文
posted @ 2018-06-11 09:48 渔夫安全 阅读(1132) 评论(0) 推荐(0) 编辑
来自T00ls的帖子-XSS的奇技淫巧
摘要: T00LS在前段时间开启了markdown支持,这个漏洞也正是markdown的问题导致。 Markdown是一种可以使用普通文本编辑器编写的标记语言,通过简单的标记语法,它可以使普通文本内容具有一定的格式。 Markdown本身是一种标记语言,在网页上的应用也很简单,比如当我在markdown中输 阅读全文
posted @ 2018-06-11 09:44 渔夫安全 阅读(845) 评论(0) 推荐(0) 编辑
逻辑支付漏洞骚操作案例集合
摘要: Edusoho逻辑支付漏洞 大概思路:假设某网校会员1年2000元,不同与以往的修改金额实现1元买会员,而是在购买会员时,先买合法的年数,例如1年,抓包,将购买的会员年限修改为很大的一个数,例如999999999999年,相应的金额999999999999*2000元。最终要付的钱数就会超出数据类型 阅读全文
posted @ 2018-06-11 09:37 渔夫安全 阅读(2405) 评论(0) 推荐(1) 编辑