文章目录
在线靶场:在线靶场_墨者学院
一、来源页伪造
背景:点击按钮时,网页提示只能从google.com平台访问。
思路:题目已经提示了来源页,因此只需要将监听到的数据包中的Referer的值修改,再发送到服务器就可以了。
二、HTTP动作练习
背景:Request-URI Too Long。
思路:把请求方法GET,改成请求方法POST。
三、投票系统程序设计缺陷分析
背景:程序设置每个人只能投一次票,且要把ggg投票到第一位。
思路:伪造IP地址来增加投票次数,增加x-forwarded-for字段,设置动态IP来实现攻击。
抓包,在数据包中添加代码
设置动态IP
最后,将加入x-forwarded-for的数据放包。