biji123

已于 2024-08-01 21:47:05 修改
阅读量141 收藏 3
点赞数 8
文章标签: 网络安全 安全
于 2024-08-01 21:45:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72236298/article/details/140858178
版权

一、思考:

低危漏洞---》打组合---》不要交

二、登录对抗

1)隐藏注册

隐藏注册页面(先找---》简单)

通过js文件中前端路由或浏览器插件寻找

锚点---》#

全局搜索 ---》path

path : '

path : "

path : '/login'

隐藏注册api(不知道参数---》把收集的参数都写进去)

可通过js文件中泄露API接口寻找

全局搜索 ---》register(/register,api/login,/api/register)

局部搜索 ---》截取部分 API

注意

  • image

js---》收集(如果有config.js更好)

1、token

2、账户密码

3、系统手册

4、oss密钥

把每次收集到的---》参数名和api名---》保存下来---》同时用

2)未收取访问接口

js文件中---》泄露路径---》注册口类似---》直接访问无需登录可利用后台功能

未授权访问nday ---》springboot的swagger || actuator

例子

  • image

3)任意用户

常见任意用户、重置、注册

短信验证码可爆破

短信验证码可复用

验证api(手机发送验证码)与---》重置api(重置用户密码)---》分离

先对验证码进行验证

再使用独立的重置api进行重置

  • image

4)sql注入

三、无功能后台对抗(没有特权用户的时候使用)

1)垂直越权

找越权页面---》翻js文件、合法页面

找越权api(成功率高)

2)思路

  • image

3)案例

  • image

某目标登录后---》无权限、未认证 ---》通过js文件中定位到全系统 API 接口,构造api 请求(从URL后面到前面走)

  • image

四、从小程序---》到业务后台

思路:

  • image

五、cnvd

某某厂商的某某设备存在某某漏洞

资产---》提供技术支持的公司---》注册资金是5000万

前台漏洞 = 未授权api

不要碰---》事件型---》容易进去

通用型号:10个样本---》复现3个

m0_72236298
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
biji
u013829023的博客
09-18 365
集合的三大特性: (1)确定性: 对于任意一个元素,要么它属于某个指定集合,要么它不属于该集合,二者必居其一。 (2) 互异性: 同一个集合中的元素是互不相同的。 (3) 无序性:任意改变集合中元素的排列次序,它们仍然表示同一个集合。 代码块: Collection coll=new ArrayList(); //1.size():返回 集合元素(对象)
BIJI
qq_39542892的博客
09-14 157
1.面向对象的特征一:封装与隐藏 问题:当创建了类的对象以后,如果直接通过“对象.属性”的方式对相应的对象属性赋值的话,可能会出现不满足实际情况的意外,我们考虑不让对象来直接作用于属性,而是通过“对象.方法”的形式,来控制对象对属性的访问。实际情况中,对属性的要求就可以通过方法来体现 解决的方法:(封装性的思想)将类的属性私有化,提供公共的方法(setter & getter)来实现调用 2
biji0000000
weixin_57987134的博客
04-10 42
找了半天,是浏览器的问题,换个浏览器据没报错,可能是谷歌浏览器插件的问题,(至今还没找出来问题所在)2.实体类关闭多表关联其他类 List查询报错。解决办法: 实体类关闭多表关联其他类 List。代码没动过,今天突然出现了这个报错。
linux biji
weixin_30484247的博客
01-28 199
1.建立目录:mkdir目录名 2.删除空目录:rmdir目录名 3.无条件删除子目录:rm -rf 目录名 4.改变当前目录:cd目录名 (进入用户home目录:cd~;进入上一级目录:cd-) 5.查看自己所在目录:pwd 6.查看当前目录大小:du 7.显示目录文件列表:ls -l (-a:增加显示隐含目录)其中:蓝:目录;绿:可执行文件;红:压缩文件;浅蓝:链接文件;灰:其他...
C++biji
m0_53443560的博客
03-30 53
系列文章目录 文章目录 系列文章目录 前言 一、空指针 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、空指针 using namespace std; class Person { public: void showClas...
内部类biji
weixin_49614932的博客
03-22 82
内部类的好处就是可以直接使用外部类的成员 参数匿名内部类 ​​​​​​​
git biji
zhangbin18607544869的博客
06-11 147
这个帖子是我转载的,做个笔记,感谢这位大佬。原贴链接:https://qq1332783374.github.io/post/git-ru-men/ GitHub客户端下载地址:https://desktop.github.com/(这里已win10为例),安装完后右键菜单会出现以下两个选项。 配置: 安装完git后,直接在桌面右键选择Git Bash Here,进入git...
Java-biji.rar_java biji
09-21
"Java biji",这个术语可能指的是Java的笔记或者学习记录,而"Java-biji.rar"则是一个包含这些笔记的压缩文件。从描述来看,这是一份学霸的学习笔记,可以期待其中包含了深入且系统的Java学习资料。 首先,我们来...
shuziluoji-biji
02-18
标题“shuziluoji-biji”可能是指一个与数字逻辑笔记相关的项目,可能是某个人在GitHub上分享的关于数字逻辑的学习资料或者代码实现。在描述中,“这是我的第一个GitHub内容!!!挺好”表达了作者初次在GitHub上...
biji5.exe
10-27
biji5.exe
fabudingyue-shejimoshi-biji
12-15
【标题】:“fabudingyue-shejimoshi-biji” 暗示了这是一个关于“发佈弹月”的设计模式笔记。在这个标题中,“发佈弹月”可能是一个项目或者产品的代号,而“设计模式”则表示这是一系列与软件设计相关的策略和最佳...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8384
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
洛秋的博客
08-13 559
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
在亚马逊云科技上安全、合规、私密地调用生成式AI大模型
m0_66628975的博客
08-13 1670
Amazon Bedrock 是亚马逊云科技提供的一项服务,旨在帮助开发者轻松构建和扩展生成式 AI 应用。Bedrock 提供了访问多种强大的基础模型(Foundation Models)的能力,支持多种不同大模型厂商的模型,如AI21 Labs, Anthropic, Cohere, Meta, Mistral AI, Stability AI, 和Amazon,用户可以使用这些模型来创建、定制和部署各种生成式 AI 应用程序,而无需从头开始训练模型。
SSL发送邮件:如何确保邮件传输过程安全?
DengHua2203的博客
08-13 294
配置SSL发送邮件需要正确设置邮件客户端和邮件服务器,并定期检查SSL证书的有效性。AokSend,通过API与SMTP接口,安全SSL加密发送邮件,保护数据,营销无忧!
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 260
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
什么是网络安全态势感知
最新发布
m0_66268916的博客
08-13 146
德迅云安全 态势感知采用先进大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式、最终是为了决策与行动,是安全能力的落地。通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。
马原biji2023
01-17
《马原笔记2023》是一本由中国作家马原所写的著名笔记集。此书于2023年出版,内容丰富,触及了各种社会问题和思想观点。该书的出版引起了广泛的关注和讨论。 《马原笔记2023》的核心主题是现实主义和人文主义的结合...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值