- 博客(11)
- 收藏
- 关注
原创 Burpsuite靶场|通过SQL注入获得隐藏的数据
测试漏洞:SQL 注入漏洞中的字符型注入是指攻击者利用应用程序中的输入字段,向后端数据库注入恶意的 SQL 代码片段,从而执行恶意操作或获取未授权的数据。工作原理应用程序将用户输入直接拼接到 SQL 查询语句中,而没有进行充分的验证或过滤。攻击者利用这些输入字段,构造包含恶意 SQL 代码的输入,以达到修改查询逻辑、获取敏感数据或执行其他恶意操作的目的。使用参数化查询或预编译语句:使用参数化查询可以将用户输入作为参数传递给 SQL 查询,而不是将其直接拼接到 SQL 语句中。
2024-06-20 14:27:48 866
原创 实战案例-绕过计算型验证码
本文场景为某违法网站的后台页面,通过 HTTP模糊测试工具和第三方 API 调用演示如何绕过加法的验证码识别,方便进行后台的弱口令爆破。为了计算数字型验证码的值,我们采用了自定义的流程。在发送请求之前,通过调用 API 接口计算出相应的值,整个过程分为 4 个步骤完成。接下来,我们将逐步介绍每个步骤的流程。点击自定义流程,在发包前流程中点击(新建请求)回到 HTTP 抓包测试工具中,打开重放模块,找到之前称之为“验证码请求数据包”的数据包,把该数据包内容复制到请求数据包块中。
2024-05-21 10:47:38 595
原创 逻辑漏洞测试系列-支付逻辑漏洞
淘夕夕王老板找到您,说发现有黑客只花了1元就在他在线商城里买走了5000元的商品,他想知道怎么做到的,你能帮他找到原因吗?
2024-05-09 17:58:13 433
原创 轻松解决存在Token校验的场景
本教程详细介绍了局部变量的使用方法。当测试目标中某些功能涉及Token验证机制时,我们利用局部变量的功能,成功解决了相关问题。
2024-04-19 14:51:24 754 2
原创 高效的测试SQL注入|特征检查
HTTP抓包测试工具中的特征检查模块基础的使用方法和流程已经介绍完毕。HTTP抓包测试工具中的特征检查模块解决了以下问题用户可以预设多个特征规则,工具自动检查响应数据包中是否存在匹配的特征或关键字,加快了特征识别速度。特征检查功能自动标记响应数据中特征的位置,省去了手动查找的步骤,提高了操作效率。每个测试标签页可独立设置特征检查规则,灵活应对不同的测试需求,并且新建标签页会自动复制检查规则,保证了测试的一致性和效率。支持将数据包和规则导出为配置文件,便于存档和团队之间测试数据的传递。
2024-04-12 11:02:23 776 4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人