精妙绝伦-国家漏洞响应平台-零基础漏洞笔记

最新推荐文章于 2024-08-30 07:22:26 发布
最新推荐文章于 2024-08-30 07:22:26 发布
阅读量381 收藏 6
点赞数 5
文章标签: 漏洞 响应 操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84915584/article/details/139602622
版权

精妙绝伦-国家漏洞响应平台-零基础漏洞笔记

0x11

上午十一点,部门大佬发了一个补天认领的漏洞,于是抓紧看了一波,发现是一个已经一年多没管的项目,看了下过程,原理大概知道,于是自己动手实践了下,惭愧,一直到下午才复现漏洞。

0x12

漏洞提交详情如下

很直白,大致就是:抓包后修改了返回结果,然后app将结果处理后进入下一步操作(查询订单等信息),这个时候白帽子已经通过修改用户id查询到了很多关键数据,最后还提了一嘴批量查询,ummmm....

0x13

开始动手

唉?app还是没反应!

于是我查看了手机的日志,发现有连接超时,难道是我手速太慢?于是我快速重复了一遍上述步骤,结果还是一样。

经过多次尝试,发现各有成功失败,大致的操作步骤如下:

1.正常登陆,拿到正常登陆时的内容,修改用户id。

2.当验证码发送按钮可用时,迅速执行登录操作,将步骤1的粘贴到响应内容中,成功。

根据服务器响应来看,服务器时间与本地时间相差很大。

因此,关键是响应头中的Date不要超时。

0x14

关于批量查询,关键要知道如何生成。

在浏览器直接访问域名。发现接口文档直直白白的显示了出来。

反编译了apk,在代码中获取到了key。

0x15

最后,其实只要对请求做好鉴权,这些都是浮云吧

~

网络安全学习,我们一起交流

~

黑客小媚子
关注
入门到放弃之 NVMe-MI --- 协议简介
智小星的博客
08-09 8003
在学习NVMe-MI协议之前,感觉协议是如此的枯燥,通过短时间的阅读Spec发现协议规范定义的精妙绝伦;协议中各种细节处理的相当到位,最有趣的是消息服务模型的状态机设计,希望大家一起在学习的过程中,碰撞出火花。.........
leetcode解题笔记--part1--array
weixin_30535565的博客
10-29 471
目录 11. Container With Most Water 15. 3Sum 16. 3Sum Closest 18. 4Sum ★★ 31. Next Permutation 33. Search in Rotated Sorted Array ★ 34. Search for a Range 39. Combination Sum ★...
我的读书笔记 -《裸猿》
热门推荐
earthOLtainanwan的博客
07-20 3万+
2019-7-20
ComfyUI-Workflows-ZHO 开源项目指南
gitblog_01104的博客
08-09 663
ComfyUI-Workflows-ZHO 开源项目指南 ComfyUI-Workflows-ZHO项目地址:https://gitcode.com/gh_mirrors/co/ComfyUI-Workflows-ZHO 一、项目介绍 概览 ComfyUI-Workflows-ZHO 是一个由社区贡献者 ZHO 组织整理的 ComfyUI 流水线集合项目,旨在提供多样化的稳定扩散 (Stable...
少年陈哲-番外篇
m0_73353434的博客
07-22 1414
少年陈哲-番外篇,是洛谷近3年来的巅峰巨作!曾获主角本人亲自赞誉!
Android世界的入口-深度解锁Activity的秘密
w风雨无阻w的专栏
05-06 766
1、Activity之根:三件宝要理解什么是Activity,首先需要了解它构建的三大基石:Context、Window和View层级。:Context 是一个接口,提供了应用程序环境的全局信息。它允许应用程序访问资源和生命周期状态,是几乎所有其他组件的基础。(2)、Window:Window 是一个抽象类,代表了一个用户界面的一部分。它负责管理视图的布局和绘制,是 View 层级的顶级容器。(3)、View 层级:View 是 Android UI 组件的基类,代表屏幕上的一个元素。
探索异步世界的秘密武器 —— await-tree
gitblog_00421的博客
08-30 623
探索异步世界的秘密武器 —— await-tree await-treeInstrument await-tree for actor-based applications.项目地址:https://gitcode.com/gh_mirrors/aw/await-tree 在Async Rust的探险旅程中,开发者们利用灵活多变的Future编织出错综复杂的控制流,犹如一场场精妙绝伦的代码交响乐...
思考的乐趣----matrix67数学笔记:最精妙的无字证明
weixin_33671935的博客
11-22 182
从《思考的乐趣----matrix67数学笔记》一书中看到这个证明,据说在mathoverflow网站上这个无字证明获得了最多的投票! http://mathoverflow.net/questions/8846/proofs-without-words 认真思考了该图的含义,终于恍然大悟,果然是精妙绝伦的无字证明! ===============...
精妙绝伦的并发艺术品 — ConcurrentHashMap是如何保证线程安全的
朱小厮的博客
11-30 443
点击上方“朱小厮的博客”,选择“设为星标”后台回复"书",获取后台回复“k8s”,可领取k8s资料| 前言阅读此篇文章,你需要有以下知识基础Java内存模型,可见性问题CASHashMap...
精妙绝伦的jQuery 源代码
02-02
精妙绝伦的jQuery 源代码》一书,无疑是深入理解jQuery核心机制的宝贵资源。这本书通过详细的代码示例,帮助读者剖析jQuery库的内部运作,从而提升JavaScript编程能力。在这里,我们将探讨jQuery的核心概念、设计...
熊猫快启-goStart
01-21
3、外观,精妙绝伦 简约而不简单,经典白和暗夜黑两种经典UI主题恰到好处。 4、惬意,发自内心 如春风,如夏雨,如秋叶,如冬雪。心旷神怡,妙不可言。这种感觉,绝无仅有。 5、效果,立竿见影 一分钟,桌面回归整洁...
最新人教版五年级语文下册第七单元试卷-.pdf
10-11
4. 成语运用:试卷中出现了多个成语,如“全力以赴”、“精妙绝伦”、“不言而喻”等,要求学生理解并能正确使用成语。 5. 反义词与近义词:题目中提到了“垂头丧气”的反义词,以及含有反义词的词语,锻炼学生对...
我的世界minecraft-Python3.9编程(1)-开发环境配置(1)
The research on computer technolog
04-27 780
我的世界是一款沙盒式建造游戏,缔造者为Mojang Studios创始人马库斯·佩尔松,其灵感源于《无尽矿工》、《矮人要塞》和《地下城守护者》。现首席创意官为延斯·伯根斯坦,首席开发者为昂内丝·拉尔森。玩家可以在游戏中的三维空间里创造和破坏林林总总的方块,甚至在多人服务器与单人世界中体验不同的游戏模式,打造精妙绝伦的建筑物,创造物和艺术品。时至今日,Minecraft的游戏平台已囊括了移动设备和游戏主机。 Minecraft着重于让玩家去探索、交互、并且改变一个由一立方米大小的方块动态生成的地图。除了方块以
[书蕴笔记-3]使用中文维基百科语料库的word2vec模型计算书籍距离
Core00077的博客
02-03 4371
使用中文维基百科语料库的word2vec模型计算书籍距离 前言 瞎吹水 晚上胃疼的难受,也不知道为什么,疼到炸裂……(大概是某个人的锅?应该是吃杂了==) 在床上折腾了会儿才好。 日常吹水结束 最后补充一句…… 失恋后的过渡期要结束了,我要迎来自己的大学巅峰。 以为我能昨天晚上写完博客的,结果啥都没写== 那就多说两句: 有些小智障……真的要抓紧时间学习了阿。 然
THUCNews中文文本分类数据集包含84万个新闻文档,共14个类别;基于此模型测
最新发布
09-30
THUCNews中文文本分类数据集包含84万个新闻文档,共14个类别;基于此模型测试BERT多个版本的分类性能_ TextClassifier
基于Java的uinshine-fill在线应用设计源码
09-30
该项目是一款基于Java的在线应用设计源码,名为uinshine-fill,集成了Java、JavaScript、HTML、CSS、Shell和Lua等多种编程语言。源码文件共计724个,其中Java文件占比最高,达到472个,紧随其后的是XML和JavaScript文件,分别为51个和47个。此外,还包括HTML、YML、Imports、Properties、JSON、TXT和CSS文件。
基于Java语言的zzyi-cp项目设计源码总结
09-30
该项目为基于Java语言的zzyi-cp设计源码,总计包含441个文件,涵盖382个Java源文件、51个XML配置文件、5个YAML文件、2个Git忽略文件以及1个IML文件。
Labview通过FINS tcp协议与欧姆龙PLC通讯,支持CIO区,W区,D区,布尔量,整数,浮点数,字符串读写操作,软件无
09-30
Labview通过FINS tcp协议与欧姆龙PLC通讯,支持CIO区,W区,D区,布尔量,整数,浮点数,字符串读写操作,软件无加密
"精妙绝伦的七种武器PPT教学:逻辑、风格、布局完美结合
精妙绝伦的七种武器”PPT学习教案是一份设计精良的学习资料,旨在帮助学习者更好地掌握古龙小说《七种武器》中所描述的七种非一般江湖武器。该教案分为七个系列:长生剑、孔雀翎、碧玉刀、多情环、离别钩、霸王枪...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值