【网络安全】IP切换绕过2FA身份验证

于 2024-10-02 10:47:23 发布
阅读量6 收藏
点赞数
分类专栏: 网络安全 文章标签: web安全 漏洞挖掘
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/142679257
版权

未经许可,不得转载。

文章目录

正文

Juicytarget.com是一个典型的安全测试目标平台,旨在帮助用户学习和测试常见的安全漏洞和攻击手段。

1、我首先登录了 Juicytarget.com,在登录页面输入了我的电子邮件和密码。

2、登录后,我被引导至2FA(两步验证)页面。在此页面,我需要输入邮箱收到的验证码。我使用了验证码 000000,并通过Burp Suite拦截了该请求。

3、接下来,我将拦截的请求发送给Burp Suite中的Intruder工具,并将验证码参数标记为可变的Payload,以便执行自动化攻击。

4、我的正确 OTP(一次性密码)是 315658。为了高效地测试有效的验证码,我将有效载荷的范围设定为从 315000315999,这是在一个受控环境下进行的,以避免对服务器造成过大压力。

5、在此过程中,我使用了Burp Suite中的IP Rotate扩展,每次请求时自动更改IP地址,用以规避服务器的速率限制和防止账户被暂时封禁或检测到异常活动。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
专栏目录
订阅专栏
2024年最新2024 软考信息安全工程师 知识点(2),网络安全上机面试题
2401_84281629的博客
05-06 1205
零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:因篇幅有限,仅展示部分资料网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1239
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
北航网安2024《信息网络安全》复习资料整理(一至十四章)
weixin_71023584的博客
06-12 1269
本文章内容参考北航网安学院院长刘建伟老师的信息网络安全课程的教材和PPT,如有笔误以原材料为准因为复习的时候好好整理了一下,所以就顺手发出来,希望可以帮到学习网络安全知识的uu~保密性、完整性、可用性、合法使用。信息泄露、完整性破坏、拒绝服务、非法使用。安全策略:某个安全域内施加给所有与安全相关活动的一套规则。安全策略分为3个等级:安全策略目标、机构安全策略、系统安全策略。访问控制策略属于系统级安全策略,它迫使计算机系统和网络自动执行授权。分类:强制访问控制(MAC,Mandatory Access Con
使用 freeradius 搭建 EAP PEAP MS-CHAPv2 验证环境
热门推荐
洪伟的专栏
12-16 1万+
企业级 Wi-Fi 搭建起来有点小复杂,我们知道自己家使用的 Wi-Fi 非常简单,几乎只需要配置一下热点的 SSID 和密码就可以了,实际上这是两种 Wi-Fi 认证类型。想要快速部署企业级 Wi-Fi 验证环境,首先要理解企业级 Wi-Fi 部署的一些核心组件以及相应的协议。 一、Wi-Fi 认识 Wi-Fi(发音:/ˈwaɪfaɪ/,法语发音:/wifi/),在中文里又称作“行动热点”,是 Wi-Fi 联盟制造商的商标做为产品的品牌认证,是一个创建于 IEEE 802.11 标准的无线局域网技术。基于
网络安全面试题分享
edu_aqniu的博客
05-21 1755
1.什么是防火墙? 答:它是为网络设计的安全系统。防火墙设置在监视和控制网络流量的任何系统或网络的边界上。防火墙通常用于保护系统或网络免受恶意软件,蠕虫和病毒的侵害。防火墙还可以防止内容过滤和远程访问。 2.linux系统中的计划任务crontab配置文件中的五个星星分别代表什么? 答:分,时,日,月,星期几 3.解释暴力攻击。怎么预防呢? 找出正确的密码或PIN码是一种反复试验的方法。黑客反复尝试使用所有凭据组合。在许多情况下,暴力攻击是自动进行的,其中软件会自动运行以使用凭据登录。..
凭借这41道网络安全面试题,我拿到了鹅厂offer
2401_84618514的博客
08-09 586
答:它是为网络设计的安全系统。防火墙设置在监视和控制网络流量的任何系统或网络的边界上。防火墙通常用于保护系统或网络免受恶意软件,蠕虫和病毒的侵害。防火墙还可以防止内容过滤和远程访问。同源策略是检查页面跟本机浏览器是否处于同源,只有跟本机浏览器处于同源的脚本才会被执行,如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。所谓原子操作是指不会被线程调度机制打断的操作;这种操作一旦开始,就一直运行到结束,中间不会有任何 context switch (切换到另一个线程)。
密码安全攻防技术精讲
GitChat
07-03 3101
课程介绍 本课程内容将以作者亲身经历的事情为主,从技术的视野和攻防角度来剖析各种密码及其他技术对工作和个人生活的影响,将“高高在上”的技术拉进我们日常的生活中来。每一篇文章都是精挑细选的典型案例,背后都有真实故事和场景,以技术的方式来再现和还原。 非技术专业读者可以通过这些文章来了解和预防各种涉及密码的攻击,从事技术工作的读者可以按照文章的搭建环境进行实战实践。由于篇幅有限,密码攻防涉及的技术非常...
Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
smellycat000的专栏
11-12 1866
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介Apache Shiro作为Java框架,可被用于身份认证、授权等任务。整合Apache S...
转载-计算机网络原理
greatliuda的博客
03-05 7859
计算机信息管理专业课程 最新自考笔记 : https://github.com/Eished/self-study-exam_notes 计算机网络 国家精品课 课程地址:https://www.icourse163.org/course/HIT-154005 讲师:李全龙、聂兰顺 课件整合补充:Eished 视频总时长:37:25:46 计算机网络原理 04741 历年真题分析 201910 202008 202104 201904 201810 201804 题型 单项选择题:25小题,每小.
网安工具系列:雷池WAF简介、上手指南(官方版本+亲测有效)
weixin_54626591的博客
02-16 1436
雷池WAF简介、上手指南(官方版本+亲测有效)
网络安全详解
weidl001的博客
09-21 1558
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-27 1147
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
国产操作系统(统信UOS)网络安全等级保护基础安全加固
2401_84434570的博客
09-26 964
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令:sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令:dpkg -l libpam-pwquality。执行命令:vim etc/pam.d/common-passwd。
信息安全工程师(24)网络安全体系建设原则与安全策略
最新发布
m0_73399576的博客
09-28 1197
信息安全工程师——网络安全体系建设原则与安全策略篇
19、网络安全合规复盘
weixin_43263566的博客
09-26 255
Web安全-SQL注入之联合查询注入
m0_60984906的博客
09-25 360
Web安全SQL注入之联合查询注入墨者学院-SQL手工注入漏洞测试(MySQL数据库-字符型)
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 704
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
2024年10月CISAW课程安排
2402_84109700的博客
09-27 343
数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,软考,CCSC网络安全能力认证办理。CISAW根据专业领域分为多个类别,如安全集成、安全运维、风险评估、应急服务、软件安全开发等,通过培训后可获得全国通用的信息安全保障人员认证证书。各方向的第一阶段和第二阶段培训本月将以线上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值