网络安全学习记录-11

最新推荐文章于 2024-06-14 14:08:33 发布
最新推荐文章于 2024-06-14 14:08:33 发布
阅读量7k 收藏
点赞数
文章标签: web安全 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leewy0326/article/details/123318018
版权

验证码绕过找回漏洞

乌云:曾经的src平台 漏洞会公开

绕过验证码:

1.利用逻辑漏洞绕过

2.利用图片识别

利用逻辑漏洞绕过:

1.前端验证码 等于没有检测 直接跑数据包抓包

2.验证码设置了但是没有校验,随便填有可能过

3.验证码重复使用

4.验证码空值绕过

5.验证码简单用脚本可以识别

6.验证码在html页面显出

7.传参里有验证码

8.验证码有规则

9.万能验证码输入000000能直接绕过

10.验证码有的藏在cookie里,看看是不是存在验证码的参数

11.图片验证码 类型少容易识别

12.多次登录后出现验证码绕过:

基于用户3 用户名不断替换 123456

基于ip:替换ip

X-Forwarded-For 变ip

基于session=>cookie

密码找回漏洞

1.验证码发送后前端返回                 

2.验证码无次数限制可爆破

3.验证码可控   

4.直接修改密码             

5.越权漏洞 自己验证码改包改别人密码                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      

Leewy0326
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【千峰】网络安全学习笔记
chenjyboke的博客
11-19 4894
一,部署xp及2003-1 1.准备xp系统的iso镜像文件 2.准备xp系统的安装位置 二,IP地址详解 1.交换机,局域网 局域网:一般称之为内网 局域网构成:交换机,网线,pc(其他IT终端) 交换机:用来组建内网的局域网的设备 2,ip地址 ip地址就是一个唯一的标识,是一段网络编码(二进制)由32位构成 为了方便记忆:32位分为4部分,将每一位的8位编码转换为是十进制 ip地址形式X.X.X.X ,X的范围为0~255。 ...
HCIP-Security 网络安全 上课笔记
06-26
HCIP-Security 网络安全 上课笔记 本文档主要讲解HCIP-Security网络安全上课笔记,涵盖了Eth-trunk的配置、LACP模式、链路健康检查等网络安全知识点。 1. Eth-trunk配置 Eth-trunk是将多个物理接口捆绑成一个逻辑...
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 16万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网络安全学习记录-8
Leewy0326的博客
03-03 1766
文件上传漏洞解析,验证,伪造 本质:上传一个后端脚本文件,中间包含恶意语句,能够执行,就可以控制服务器。 一句话木马 <?php eval($_REQUEST[8]) ?> 文件上传必须有安全策略 两种检测方式 前端检测 都是在浏览器上运行 利用html js css 进行检测 JS进行检测 burp 抓包 浏览器->burp->发送出去 upload_file 浏览器根据后缀获取文件格式 网站对上传文件的处理 获取上传文件的文件名,后缀 后端检测 依靠服务
网络安全学习(千锋网络安全笔记)1--搭建虚拟机
weixin_44122303的博客
07-17 1100
虚拟机(winxp,win7,win2003,win2008)的安装虚拟机使用VM配置虚拟机的一般步骤一、虚拟机的硬件配置及系统安装二、优化虚拟机,如调出桌面图标、安装VMtools、磁盘分区管理、、做快照、克隆等。
网络安全学习记录-10
Leewy0326的博客
03-05 4583
数据库注入 1.Mysql 注入-Dns 注入 注入没有回显: DNS 注入-》让盲注变成显错注入 Load_File()读取文件 UNC路径 windows SMB 服务(共享文件)//desktop/529 SMB 服务因为他是请求共享文件 所以会发起数据包 load_File()支持unc路径 DNS日志: 记录某时某分谁请求我查某域名 搭建一个DNS服务器来承接域名解析,所有访问域名都会被记录 域名本身运营商解析,修改域名设置方法,强行执行某个IP去解析域名 DNS注入平台 d
网络安全学习记录-9
Leewy0326的博客
03-04 1669
CSRF:跨站请求伪造 cookie 代表身份权限 存货周期 CSRF :偷偷让浏览器发数据包 cookie 的填充 同源 访问a 就填a 访问b站点就填b burp自带csrf恶意代码 tools csrf poc CSRF 防御方式: Token 一串随机值 cookie里有, 传参里有,要求对应才生效 即cookie和token要对应关联 csrf不知道目标的cookie是啥 写js自动提交 document.getelementbyid().submit(); 1
网络安全-自学笔记_网络安全学习
weixin_42340783的博客
04-26 876
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…----------------------------------理论与实战-------------------------------------------------------------------------实战-------------------------------------
网络安全学习记录-13
Leewy0326的博客
03-14 7107
XXE-实体注入 XML外部实体注入攻击:用户输入的数据当作XML外部实体代码进行执行 XML的宗旨传输数据与html相像 没有预定义 <fenshu>xiaoming</fenshu> 产生漏洞-》外部实体(加载外部的内容-》发起了网络请求(本地请求)) 利用XML的外部实体去访问内容王访问本机访问本机的文件 php中simplexml_load_string 函数用来处理xml ...
网络安全学习笔记-入侵检测系统IDS
chlet的博客
04-18 4897
入侵检测系统 防火墙可以根据IP和服务端口过滤数据报文,极少深入数据包检查内容(合法IP和端口从事破坏活动); 防火墙只在网络边界提供安全保护,对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力; IDS的必要性 在造成损害前切断连接或终止操作 对攻击者震慑作用 可以搜集入侵信息,与防火墙联动更新全工具的配置 IDS体系结构 CIDF通用入侵检测框架 四个组件: 事件产生器:所需要分析的数据都称为事件。可以是网络中的数据包,或是系统日志或进程消息。其作用是从IDS之外的整个计算环境
day2-网络安全学习笔记--流密码
scarlett1017的博客
09-03 2240
分组密码:将明文划分为更长的分组,比如64位、128位,将每个明文分组作为一个最小数据单元进行加密,通常得到与明文等长的密文分组。(1)当密钥流序列是真的具有均匀分布的饿随机序列的时候,在每一对称密钥K下加密消息的密钥流之间将没有任何的关联性,达到一次一密码的效果。(2)在实际应用中,真正的随机序列是不可能重复产生的,所以只能产生密码学意义上京嗯嗯安全的为随机密钥流。(3)流密码的加解密算法往往比较简单,比如明文或密钥流逐位异或,其安全性依赖于密钥流生成算法的强度。3、常见的流密码算法。
HCIA security 网络安全学习笔记
06-26
HCIA-Security 网络安全学习笔记
小白的网络安全学习记录
04-23
小白的网络安全学习记录
网络安全学习笔记.zip
04-23
网络安全学习笔记.zip
网络安全学习笔记--网络安全技术
03-11
学习笔记,理论的小结,便于自己复习,对网络安全的部门技术进行了概括。
网络安全在个人生活中具体有哪些常见的应用场景?
2301_79955948的博客
06-10 471
通过上述场景可以看出,网络安全在个人生活中扮演着至关重要的角色,它不仅关系到个人隐私和财产安全,也影响到日常生活的方方面面。7. 物联网设备安全网络安全可以保护智能家居、智能设备等物联网设备的安全,避免网络攻击和数据泄露。5. 远程办公和学习网络安全可以保障企业和学校网络系统的安全和稳定性,避免数据泄露和网络攻击。6. 云存储和备份:网络安全可以保护云存储服务和备份数据的安全,防止黑客攻击和数据泄露。8. 移动设备安全网络安全可以保护移动设备的安全和数据隐私,防止恶意软件和网络攻击。
美创科技入选“2024网络安全提供商创新排行榜”
美创科技的博客
06-12 357
数据安全的发展离不开源源不断的创新推动。美创科技始终紧跟数据安全发展趋势,坚持以“新产品新技术研发、新理念新框架构建、新服务新咨询探索、新场景新方案打造”四个方向创新发展,更好地帮助各行业用户解决应对数字化时代下的数据安全挑战与难题。近日,DBC德本咨询公布了“2024网络安全提供商创新排行榜”,美创科技凭借近20年的。此次,与360、华为、腾讯等互联网、网络安全头部厂商并肩上榜,是行业对美创的再次认可。创新耕耘,荣誉上榜。
经纬恒润助力微宏动力荣获ISO/SAE 21434网络安全流程认证证书
最新发布
经纬恒润的官方博客
06-14 485
近日,经纬恒润与微宏动力合作的网络安全开发及认证项目顺利完成了阶段性里程碑。
网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【一】
q742971636的博客
06-09 1476
Mininet: 主要用于创建和模拟虚拟网络拓扑,适合于网络实验和研究。Ryu: 主要用于开发和运行 SDN 控制器,用于管理和控制网络设备。这两个工具通常可以结合使用:使用 Mininet 模拟网络环境,使用 Ryu 作为 SDN 控制器来管理模拟网络中的设备和流量。
网络安全学习笔记合集下载pdf网盘
02-01
网络安全学习笔记合集是一份非常有价值的学习资料,对于想要深入学习网络安全知识的人来说是一个很好的参考资料。但是,我不建议在网盘上下载PDF文件,因为这样做存在一定的风险。首先,下载来历不明的PDF文件可能会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值