一张验证码引发对DOS的思考

最新推荐文章于 2024-03-17 13:05:34 发布
最新推荐文章于 2024-03-17 13:05:34 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 学习之道 WEB安全 文章标签: DDOS dos 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyboy2017/article/details/81712810
版权

DDOS攻击在互联网上是比较常见的一种攻击方式。

他的目的就是为了让攻击目标网站或者在线服务失去相应,或者因为大量流量和IP一时间如洪水般涌入服务器,导致服务器拒绝服务,甚至宕机。

在《白帽子讲WEB安全》笔记一文中,我有写到各类常见 DDOS 攻击,以及简单的防御方式。

本次实验主要是在某次挖洞的过程,以及正好看到黑家小无常刚发布的文章给我的启示,然后顺便做了一下验证。

0x01 线上测试

访问某网站后台,存在验证码登陆验证的操作,点击可刷新验证码,发现在请求头中有对验证码参数可控的操作。

参数可控

复现

放到BurpSuite中复现测试如下:

最低0.47元/天 解锁文章
dyboy2017
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
DDos攻击验证
qq_41866920的博客
06-27 650
Distributed denial of service attack DDos需要大量的肉鸡,以及高带宽。 这边在自己家里我们验证下Dos攻击 (说是DDos其实更应该是Dos) 一般进行DDos攻击 国内的一般上层会给下层开放的DDosAPI接口 PHP端的控制台 一般的流量小型网站需要10Gb/s以上 我们可以看到需要的攻击类型以及常用的攻击方法 只需要IP加端口 国外某DDos平台价格 这种东西国内也有价格十几块钱不等 我们先简单的在虚拟机创建一个网页 from flask import
DDOS学习+网络钓鱼+验证码攻击
weixin_55648772的博客
12-20 3276
Dos攻击 Dos(Denial of service)即拒绝服务。Dos攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地将攻击对象资源耗尽。
基于$_session变量的验证码用于ddos攻击的防御(php实现)
weixin_46447549的博客
08-15 437
文章目录一、基础知识1.strpos() 函数2.strpos() 函数3.PHP Session4.fopen() 函数二、使用步骤1.引入库2.读入数据总结 一、基础知识 1.strpos() 函数 ①用法: strpos() 函数查找字符串在另一字符串中第一次出现的位置,对大小写敏感,且是二进制安全的。 ②参数: strpos(string,find,start) string 必需。规定要搜索的字符串。 find 必需。规定要查找的字符串。 start 可选。规定在何处开始搜索。 ③
渗透测试之验证码参数可控造成的 DDOS 攻击漏洞
Adminxe的博客
05-04 1525
0x00 准备 环境:VMware IP:192.168.1.6 系统:windows 2008 R2 WEB:PHPCMS V9.63 工具:Burp Suite 0x01 复现 1、部署网站准备 将 PHPCMS 安装包解压到 phpstudy 的网站根目录下。 访问站点 ip:192.168.1.6,安装 phpcms。 进入后台。 生成首页。完成部署。 2、利...
Web安全(图片验证码大小可控导致ddos)
qq_42383069的博客
07-23 3158
图片验证码大小可控导致ddos 一. 前言: 在网站登录处,通常会有图片验证码.我们知道,Web漏洞的成因都有一个很重要的共同点,那就是外部可控. 比如Sql注入中的Url,用户输入的地方可能会存在XSS等.那么如果图片验证码可控,会发生什么呢? 二 . 原理: 比如一个生成图片验证码的链接如下: http://xx.xx.xx.xx/DEV_GBK_1.4.0/gbk/install_package/api.php?op=checkcode&code_len=4&font_size=20&
12306奇葩验证码引发思考之C#实现验证码程序
12-26
哈哈,是有点奇葩的验证码,怪不得有人会说“妈妈我已经找不到回家”,这让分秒必争的春运网上抢票者瞬间傻眼,九成网友已经被打败…… 正巧小编最近也在研究验证码,参考了许多网上案例,整理了一篇文章特分享给...
关于图片验证码设计的思考
10-31
关于图片验证码设计的思考
使用python 对验证码图片进行降噪处理
12-23
首先贴一张验证码上来做案例: 第一步先通过二值化处理把干扰线去掉: from PIL import Image # 二值化处理 def two_value(): for i in range(1,5): # 打开文件夹中的图片 image=Image.open('./Img/'+str(i)+'....
python对验证码降噪的实现示例代码
01-02
最近写爬虫会经常遇到一些验证码识别的问题,现如今的验证码已经是五花八门,刚开始的验证码就是简单的对生成的验证码图片进行一些干扰,但是随着计算机视觉库的 发展壮大,可以轻松解决简单的验证码识别问题,于是...
图片验证码
GoldenFish的专栏
05-03 672
思路:图片验证码的实现主要的技术点是如何生成一个图片。生成图片可以使用java.awt包下的类来实现。我们先写一个简单的生成图片的程序HelloImage.java。以下是代码部分。   package com.vogoal.test;import java.awt.Color;import java.awt.Graphics;import java.awt.image.Buffe
短信防止验证码攻击方法
03-19
避免对外短信业务接口被刷的几种方案,前端通过设置图形验证码,后端通过加密通讯
防攻击的基本方式-动态验证码
专注-享学课堂
02-10 966
网站受到持续的不明IP地址的恶意请求: 使用如下功能,并导致用户(不明手机账号)收到大量“垃圾”短信:::: 设计一个自动回发邮件,或者短信的验证码发送, 1、根据时间间隔控制 2、动态码验证
js经典案例_WebFuzzing方法和漏洞案例总结
weixin_39546661的博客
11-26 265
WebFuzzing方法和漏洞案例总结作者:Vulkey_Chen博客:http://gh0st.cn背景之前有幸做过一次线下的议题分享《我的Web应用安全模糊测试之路》,讲解了一些常用的WebFuzzing技巧和案例,该议题得到了很大的回响,很多师傅们也与我进行了交流,但考虑到之前分享过很多思路非常不全面,这里以本篇文章作为一次总结,以实战引出技巧思路(方法)。我的Web应用安全模糊测试之路议题...
验证码及登录中的漏洞分析
KHOST的博客
06-02 3266
进行这个整理,是因为在XXX项目的时候,发现登录模块的忘记密码功能,在验证用户身份的时候是通过手机验证码验证的。通过修改响应包的返回参数值,可以绕过验证,进入第三步的密码重置。还有最近测试的一个sso登录,也存在验证码问题。 之前的测试中也遇到过类似的验证码绕过的漏洞,所以对验证码绕过方法进行一个总结,以及关于登录模块可能会存在的逻辑漏洞进行一个小整理。 其实,会出现验证码的地方,也就是校验用...
记一次验证码漏洞挖掘及验证码漏洞原理和危害
weixin_63560942的博客
03-17 1235
验证码是我们生活中经常遇到的东西我们注册账号,需要手机验证码,提交留言等需要图形验证码,那么我们就这两类生活中最常见的验证码进行讨论,看看有什么方法可以绕过验证码验证。验证码漏洞有一定危害,恶意攻击者可以用这个漏洞登录他人账号,获得用户权限,再用逻辑越权或者sql注入等手段获得该网站高权限进行恶意攻击,也可以将他人账户的各种资产搞得一团糟。希望大家学习后不用用于不法用途,共同维护网络安全。
正则表达式所引发DoS攻击(Redos
systemino的博客
05-07 5243
正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatsheet-by-examples-649dc1c3f285了解。 首先,让我们介绍一些重点知...
被骗几十万总结出来的Ddos攻击防护经验!
热门推荐
★匆匆★的专栏
12-09 2万+
转载地址:http://www.ijiandao.com/safe/cto/15952.html 本人从事网络安全行业20年。有15年防ddos攻击防护经验。被骗了很多回(都说能防300G,500G,买完就防不住了),本文当然重点给大家说明,ddos攻击是什么,中小企业如何防护,用到成本等。 2004年记得是,晚上我带着螺丝刀,晚上2点去机房维护,有ddos攻击,被警察当贼了,汗,
防止频繁刷验证码接口-luosimao
刘hh的成长记录
07-12 3485
在html中很容易可以拿到接口进行恶意访问,然后看到www.luosimao.com提供了免费的人机验证服务。https://luosimao.com/docs/api/56 文档。1.注册一个luosimao的账号。 2.选择人机验证,并添加新的网站 3.在客户端页面中添加以下相应的dom和脚本, site-key是创建完新网站,直接复制替换即可 // 这是异步的方式,如果使用同步的方
使用ddddocr识别一张图片验证码代码
最新发布
04-24
使用ddddocr识别一张图片验证码的代码可以按照以下步骤进行: 1. 安装ddddocr库:首先需要安装ddddocr库,可以使用pip命令进行安装,如下所示: ``` pip install ddddocr ``` 2. 导入ddddocr库:在代码中导入ddddocr库,如下所示: ```python import ddddocr ``` 3. 加载模型:使用ddddocr提供的模型进行加载,如下所示: ```python ocr = ddddocr.DdddOcr() ``` 4. 读取验证码图片:将需要识别的验证码图片读取为二进制数据或者直接读取图片文件,如下所示: ```python with open('captcha.jpg', 'rb') as f: img_bytes = f.read() ``` 5. 进行验证码识别:调用ddddocr库提供的识别函数进行验证码识别,如下所示: ```python result = ocr.classification(img_bytes) ``` 6. 获取识别结果:从识别结果中提取验证码文本,如下所示: ```python captcha_text = result['result']['text'] ``` 完整的代码示例如下所示: ```python import ddddocr # 加载模型 ocr = ddddocr.DdddOcr() # 读取验证码图片 with open('captcha.jpg', 'rb') as f: img_bytes = f.read() # 进行验证码识别 result = ocr.classification(img_bytes) # 获取识别结果 captcha_text = result['result']['text'] print("识别结果:", captcha_text) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值