bwapp 06

bwapp 06文章目录Base64Encoding(Secret)ClearTextHTTP(Credentials)HostHeaderAttack(ResetPoisoning)HTML5WebStorage(Secret)SSL2.0DeprecatedProtocolTextFiles(Accounts)Base64Encoding(Secret)抓包,找到sercret,进行base64编码以上级别,40位16进制数,推测使用了sha1编码注意先解码,再base

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

Base64 Encoding (Secret)

抓包,找到sercret,进行base64编码
以上级别,40位16进制数,推测使用了sha1编码
注意
在这里插入图片描述
先解码,再base64解码
在这里插入图片描述

在这里插入图片描述

Clear Text HTTP (Credentials)

明文登录凭据传输
在这里插入图片描述

Host Header Attack (Reset Poisoning)

输入一个注册用户的邮箱,服务器会给该邮箱发送一个重置secret的邮件,里面有一个重置secret的链接。

这个套路我们在重置密码邮件里其实挺常见的,但是那里主要想的攻击点在于激活成功教程链接里token的算法实现重置任意用户密码

使用X-Forwarded-Host头是可以改写Host头的

HTML5 Web Storage (Secret)

在这里插入图片描述
提示使用xss,但是还是先了解一下这些

localStorage.getItem(key):获取指定key本地存储的值

localStorage.setItem(key,value):将value存储到key字段

localStorage.removeItem(key):删除指定key本地存储的值
cooike会储存在键值里面
因此我们再F12的基础上,打开控制台,添加
payload为alert(localStorage.getItem('secret'))
成功
在这里插入图片描述

SSL 2.0 Deprecated Protocol

SSL 2.0存在以下缺陷

  1. 消息认证使用MD5,MD5算法很早就被证明不安全;
  2. 握手包不受保护,中间人可以欺骗客户端选择比较弱的加密套件;
  3. 消息完整性和消息加密使用相同密码,如果客户端和服务端协商使用若加密算法将会很危险;
  4. 会话可以轻易被终止,中间人可以非常简单插入一个FIN包去关闭会话,而接收端都无法确认是否是会话正常终止;

Text Files (Accounts)

测试发现,即使是注销状态访的链接,可以直接进行查看,所以如果攻击者利用扫描器进行目录爆破,很有可能找到我们添加的这个文件,况且还是明文

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/190391.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • matlab激光雷达三角测距,三角测距激光雷达原理[通俗易懂]

    matlab激光雷达三角测距,三角测距激光雷达原理[通俗易懂]激光雷达近几年越来越普及了,复杂的比如应用在无人驾驶汽车上,简单的比如用在扫地机上去。随着无人驾驶和服务机器人行业的发展,后续激光雷达的应用会更广泛。激光雷达之所以流行,主要是因为它能够精准的测距,那么它是如何实现这样的测距功能的呢?主流的激光雷达主要是基于两种原理的,一种是三角测距法,一种是飞行时间(TOF)法。听名字可不要觉得很复杂,其实只需要高中知识,任何人都能看懂它的测距原理!今天咱们就先…

  • html5 最小化,当前界面最小化快捷键 窗口最小化和全屏化的快捷键是什么?

    html5 最小化,当前界面最小化快捷键 窗口最小化和全屏化的快捷键是什么?怎样用快捷键显示最小化的窗口在键盘上同时按下Win+D键,可以最小化所有窗口。在键盘上再次同时按下Win+D键,可以还原步骤1最小化的所有窗口。在键盘上同时按下Windows+M键,可以最小化所有窗口。在键盘上同时按下Windows+Shift+M键。电脑窗口最小化的快捷键是什么?ALT+Esc可以使当前窗口最小化。Win+D最小化所有窗口,再按一下就可以还原窗口。Windows+M最小…

    2022年10月22日
  • js判断是否是数字

    js判断是否是数字js判断是否是数字 (请输入数字)       functioncheckRate(input){    varre=/^[0-9]+.?[0-9]*$/;  //判断字符串是否为数字    //判断正整数/^[1-9]+[0-9]*]*$/    varnubmer=document.getElementById(input

  • android美化界面设计_android界面模板

    android美化界面设计_android界面模板前言:很多童鞋对美化很感兴趣,都想拥有一个完完全全属于自己风格的手机系统!对那些自定义全局背景,1%电量显示,透明下拉菜单。。。都很感冒!美化的重点跟难点就在于对”framework-res.apk”和”systemUI.apk”这两个文件的编译和反编译!这里说的编译和反编译是所有深度美化都必须要做的事,也就是说,所有的美化都是基于对apk的反编译后,才能进行的!而绝大多数修改”framework…

  • django csdn_怎么使用cookie登录

    django csdn_怎么使用cookie登录前言cookie:在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题,第一次登录

  • 前端开发电脑配置(做前端用什么笔记本电脑)

    我们在刚入职的时候,公司会让我们自己来配置电脑。下面是一些实用性的软件。1.VisualStudioCode这是我们前端开发人员相对来说最多使用的代码编辑器了,可以下载各种插件来辅助我们编写代码。下载链接:https://code.visualstudio.com/.2.Chrome浏览器谷歌浏览器,是目前最全面的浏览器,对我们写的代码非常友好,包括也支持各种各样的插件。下载链接:https://www.google.cn/chrome/.注:我这个是安装了csdn出品的插件

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号