- 2024-10-22三方(开放)接口加签、验签方案
一、需求背景 在为第三方提供服务时,平台需要确保接口请求的安全性,防止恶意行为如身份伪造、请求重放和参数篡改。为此,设计一套有效的接口加签与验签流程至关重要。本方案旨在通过简洁且高效的方式实现这一目标,同时尽量减少对接的复杂度。二、问题与解决方案1
- 2024-09-16麦当劳app之sign逆向分析
1、前言今天继续研究麦当劳app的逆向算法,该文章仅用于逆向技术学习研究使用。抓包过程中发现请求参数sign为加密参数,如下图:2、sign参数猜想 sign:10b0ddb1daa077580aba33709cf73cf7sign.length=32大概率猜测为md5加密(是否魔改?)3、frida-trace跟踪“CC_MD5”函数
- 2024-08-24微信公众号开发|接入
服务器地址配置服务器可以使用内网穿透(教程在上一篇文章)或者买一个接入https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Access_Overview.htmlpackagecom.example.springboot.controller;importorg.springframework.web.bind.annotation.Ge
- 2024-08-12springboot 整合微信公众号--验证码推送(spring boot+测试号)
一、公众号开发初探这里会使用到自己的域名进行交互,没有域名的小伙伴可以使用 内网穿透(NATAPP), 如果没有使用过的的同学请移步 20秒轻松上手NATAAPP(内网穿透)公众号整体流程:用户扫公众号二维码。然后发一条消息:验证码。我们通过api回复一个随机的验证码,并且存入re
- 2024-08-11前端安全问题汇总
1、Nginx相关1.1、升级Nginx版本及时升级Nginx版本,新版本包含对旧版本的漏洞修复1.2、版本号隐藏版本号的显示也被扫描软件识为一种不安全的行为2、具有不安全、不正确或缺少SameSite属性的Cookie可以直接在Nginx下设置location/{add_headerSet-Cookie"Path
- 2024-08-07【实战】文件加密器进行逆向
前言实战可以大大提高自己,学习技术的目的就是能够在实战中运用。本次实战与实际息息相关,该软件具有加密某文件的功能。界面还挺好看的,功能很简单,输入文件和PIN(4位)进加解密。这是被加密的文件需要将其进行解密,拿到flag思路因为PIN是4位,因此可以写一个python脚本,对其进行
- 2024-08-06Jmeter SHA512接口加密测试
前言:最近,我遇到一些测试接口必须传入经过SHA512加密后的sign签名,并且签名有1小时时间限制,即签名不是一成不变超1小时就会过期,这导致在测试过程中就得频繁手工去更新签名。其实Jmeter是有提供函数去进行自动转换的,以下详解SHA512加密,可以去网上搜索SHA512在线转换 1、已知,接口
- 2024-08-03CVE-2022-4230 复现
题目描述:WPStatisticsWordPress插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行SQL注入攻击。默认情况下,具有管理选项功能(admin+)的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。根据描述,我们直接去查看wp-admin路
- 2024-07-14Java进阶之路66问 | 对接口签名是怎么理解的?如何防止接口重放攻击?
接口签名为什么需要接口签名?现在越来越多的公司以API的形式对外提供服务,这些API接口大多暴露在公网上,所以安全性就变的很重要了。最直接的风险如下:非法使用API服务。(收费接口非法调用)恶意攻击和破坏。(数据篡改、DOS)因此需要设计一些接口安全保护的方式来增强接口
- 2024-06-03【安全性测试】突破sign签名校验实现请求重放
对于安全性较高的网站,通常会用到sign签名来实现多重验证,常见的有:sign对加密密钥验证(后面会介绍)通过sign对请求重放验证(该文章重点介绍sign请求重放验证)在渗透测试中,重放数据包是非常重要的测试条件,大多数功能都需要通过重放来测试,像爆破、sql注入、篡改参数实现越权等等;而开发
- 2024-04-01微信公众号服务器配置
如图在设置URL时候,微信会给你的url以GET方式传入signaturetimestampnonceechostr几个值,和验证token处理数据返回的echostr代码如下(我添加了写入日志文件的操作)$DOCUMENT_ROOT=$_SERVER['DOCUMENT_ROOT'];$fp=fopen($DOCUMENT_ROOT.'/aaa.txt','
- 2024-02-05C# 微信公众号token 认证笔记
因公司需要,开通了微信公众号。在开发对接中摸索了2天,写下此记,备忘。 服务器地址(URL):https://www.findtechgroup.net/Handler1.ashx因http80端口已被其他业务占用,只能用https(443)协议,需路由映射服务器的443端口。 IIS中需要添加SSL证书,这个证书在阿里云中免费申请,
- 2024-01-23UofTCTF 2024 比赛记录
这次的题目挺有意思,难度适中,*开头的代表未做出,简单记录一下解题笔记。IntroductionGeneralInformation题目TheflagformatforallchallengesisUofTCTF{...},caseinsensitive.Ifyouareexperiencingtechnicaldifficultieswithchallenges,supportisonour
- 2023-12-18ASP.NET WEBAPI 接入微信公众平台总结,Token验证失败解决办法
首先,请允许我说一句:shit!因为这个问题不难,但是网上有关ASP.NETWEBAPI的资料太少。都是PHP等等的。我也是在看了某位大神的博客后有启发,一点点研究出来的。来看正题!1.微信公众平台的接入方法,无非4个参数(signature,timestamp,nonce,echostr)加1个Token(两边对应)2.Token,timestamp,
- 2023-12-18"the tx doesn't have the correct nonce":使用hardhat调用ganache上部署的合约遇到的一个错误
完整的报错==================>查询存证请求存证请求内容,datahash:0xaad2171441bd73b773e9a9e062753909360bdfcabbddbe93c6c58b13c5c0feaa,创建人:0xF7A1938Fecc594aaF126d46fd173cE74A659ad9A,附加信息:0x66656974757a6920616920646f756368757a69,已投票:0n,共需投票:2n==
- 2023-12-14Postman/apifox pre-request script
Postman/apifoxpre-requestscriptconstUUID=require('uuid');//HelperfunctiontogeneratethesignaturefunctionmakeSign(md5Key,params){constpreStr=buildSignString(params);consttext=preStr+md5Key;console.log("signS
- 2023-12-06NET Core 3.1 MVC 在html中引用js的方法使用时不生效异常
在html的select元素添加了onchange事件,changeContent方法也在当前html下。<selectid="changeLanguage"class="form-controlinput-lg"asp-for="language"asp-items="Model.supportedLanguages"onchange="changeContent()">&l
- 2023-11-16区块链技术的 ABAP 模拟实现
思路本文这段ABAP代码是一个简单的区块链(Blockchain)模拟实现,主要用于演示和理解区块链的基本概念。下面将逐行解释该代码的主要功能和实现逻辑。报表声明:REPORTzblockchain.这是ABAP报表的声明,用于创建一个独立的ABAP报表程序。参数声明:PARAMETERS:diffleTYPEchar5
- 2023-11-16使用 ABAP 代码生成区块链
源代码如下:*&---------------------------------------------------------------------**&ReportZBLOCKCHAIN*&---------------------------------------------------------------------**&*&-------------------------------------------------------
- 2023-11-07企业微信开启接收消息+验证URL有效性
企业微信开启接收消息+验证URL有效性
- 2023-11-04POW(工作量证明)共识机制
POW(工作量证明)共识机制POW(ProofofWork)是一种区块链共识机制技术,它是最早被使用的共识机制之一。POW机制的核心思想是通过计算来验证交易和生成新的区块。在POW机制中,区块链网络的参与者需要通过完成一定的难题,证明自己对于生成新区块的贡献,并获得一定的奖励。这个难题通常是
- 2023-11-04rust PBFT
PBFT(PracticalByzantineFaultTolerance)PBFT(PracticalByzantineFaultTolerance)算法是一种分布式共识算法,旨在解决拜占庭将军问题(ByzantineGeneralsProblem)。拜占庭将军问题是指在分布式系统中,由于网络故障或者节点故障等原因,导致节点之间无法达成共识或者达成错误的共识。
- 2023-10-08记一次某大型会议官网任意密码重置漏洞挖掘(CNVD-2023-41929)
记录一次本人CNVD漏洞挖掘的过程,此漏洞已被分配编号:CNVD-2023-41929引言本文记录了一次对某大型会议官网任意密码重置漏洞的挖掘,漏洞挖掘时该会议处于即将召开的状态,参会人员来自国际和国内。漏洞挖掘通过信息收集和测试发现存在一个管理后台,且有重置密码接口,但需要一个nonce
- 2023-08-10ethereum错误之nonce too low
根据提供的错误信息error(*github.com/ethereum/go-ethereum/rpc.jsonError)*{Code:-32000,Message:"noncetoolow",Data:interface{}nil},这是一个来自以太坊的JSON-RPC错误。该错误的含义是“noncetoolow”,即“交易序号(nonce)过低”。在以太坊中,每个账户都有一个交
- 2023-07-30逗游网js逆向
url:https://www.doyo.cn/passport/login?next=/1、抓包得到2个Ajax文件,根据名字猜测与登录相关的请求名字为login #多次抓包,分析可得:-请求地址:https://www.doyo.cn/User/Passport/login-请求方式:POST-请求头:无特殊-请求体:username:ahxbhhjbqpassword:b