@所有人 网络安全C10-2024.11.17
作业:
- 水平越权&垂直越权漏洞实验
水平越权
垂直越权
- 密码修改逻辑漏洞实验
3、验证码安全
(1)验证码绕过(on client)+ 验证码绕过(on server)
在client于server中由于验证码在使用后没有即使的在服务器段刷新或者作废,所以可以重复使用
- 验证码绕过(on server)实验中,为什么burp拦截开启的状态下,通过Repeater进行重放不会刷新验证码,关闭拦截后才会刷新验证码?
在拦截开启的情况下,在pikachu靶场中验证码是用两个包来刷新验证的,一个验证用户,另一个刷新验证码,在burp抓到第一个包时,第二个包一直在被burp拦截住的,使服务器端一直刷新不到新的验证码,且之前的验证码并没有作废,使得在服务器端可以一直使用,给工具着可以爆破绕过的机会。
- CTFhub:SQL注入靶场,分别完成手工注入和Sqlmap工具注入的过程
手工注入
Sqlmap
预习:在虚拟机中分别安装Kali、Win7、Windows XP操作系统,为下周课程实验做准备
预习资料:https://msdn.itellyou.cn/
标签:11.16,验证码,server,burp,刷新,拦截,越权 From: https://www.cnblogs.com/maoming/p/18555209