2023年中职“网络安全“—JavaScript安全绕过

于 2023-11-15 14:36:45 发布
阅读量447 收藏 4
点赞数 7
分类专栏: 中职网络安全 文章标签: 安全 web安全 javascript 网络安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57060854/article/details/134419231
版权

2023年中职“网络安全“—JavaScript安全绕过

JavaScript安全绕过

任务环境说明:

  • 服务器场景: Server2201(关闭链接)
  • 服务器场景操作系统:Centos5.5

1. 使用渗透机场景kali中工具扫描服务器,将服务器上apache版本号作为flag提交;

nmap -p- -sV 靶机IP
# 我不知道准确flag,自己试吧!

2. 使用渗透机场景windows7访问服务器场景中的网站(网站路径为IP/javascript),找到网站首页中flag并提交;

修改maxlength="10", 最大位数为10



flag:vdvSDse34sRGdvEsv}

3. 使用渗透机场景windows7根据第二题的入口继续访问服务器本题场景,通过提示得到flag并提交;

flag存在泄露,下一题地址也存在泄露
正常做的话要使账号为admin,密码为nimda
查看网页源码可以使用Ctrl+u 或 右键 --> View Page Source


flag:kdSSGngnrJRvkldDNi

4. 使用渗透机场景windows7根据第三题入口继续访问服务器的本题场景,通过提示得到flag并提交;

这一题也存在泄露,估计后面都存在。


正常做


flag:lmjKhKbdjbbgJHkjkG

5. 使用渗透机场景windows7根据第四题入口继续访问服务器的本题场景,通过提示得到flag并提交;

账号和密码的验证


flag:mfskmafewinvvse245

6. 使用渗透机场景windows7根据第五题入口继续访问服务器的本题场景,通过提示得到flag并提交;

复制这行


cd /root/tools2/BurpSuite\ v2.1/
java -jar burp-loader-keygen-2.jar
# 然后点击run,打开BurpSuite


请看图操作,给刚才复制的内容解码


正常搞


flag:asasa_sfacfe_1255_asas!

总结

题目存在泄露flag与题目地址,解决方法可以把运算过程给php处理,然后在由php判断是正确,最后在下方下一题地址,在下一题地址弹出flag

拿flag可以直接使用curl 网页地址这样更为便捷

acaciaf
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023中职网络安全竞赛JavaScript安全绕过解析(保姆级)
旺仔Sec&blog
01-07 654
2023中职网络安全技能竞赛之JavaScript安全绕过保姆级解析教程及Flag
js绕过漏洞学习
最新发布
weixin_74012678的博客
07-20 864
JS绕过是指利用各种技术手段绕过网站或应用程序中使用的JavaScript代码的安全性措施。
网络安全策略
liuhuan2099的专栏
12-17 7670
问题:什么是访问控制策略?访问控制策略是什么意思?访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的
Node.js 应用开发详解13 网络安全:常见网络攻击以及防护策略
fegus的博客
09-28 1742
本讲介绍了常见的一些网络攻击方案,其次着重介绍了在 Node.js 中要注意的安全风险问题。网络攻击一般是面试中常被问及的题目,因此我们需要着重学习其原理,其次针对 Node.js 的安全问题则是你在编码过程中非常要注重的,避免在应用 Node.js 的过程中导致企业受到损失。如果你还有其他的一些安全性问题,也可以在本讲下面进行留言,我将和你一起探讨如何解决这些线上安全问题。下一讲我们将介绍一个可以轻松地协助我们来做各种性能提前校验的工具,其次会实践应用该工具融合到我们的框架中。
JS前端绕过
看着博客敲代码
06-26 2952
web应用对用户上传的文件进行了校验,该校验是通过前端JavaScript代码完成。恶意用户对前端JavaScript进行修改或通过抓包软件篡改上传文件的格式,就能绕过基于JS的前端校验。
2023内蒙古自治区中职网络安全赛题-B模块
06-01
2023内蒙古自治区中职网络安全赛题-B模块详解》 网络安全是现代信息技术领域的重要组成部分,尤其在职业教育中,网络安全技能的培养至关重要。2023内蒙古自治区的中职网络安全比赛,旨在考察参赛者对Web安全...
2023中职网络安全重庆隐写术题目
03-22
2023中职网络安全重庆隐写术题目解析》 在网络安全领域,隐写术是一种重要的技术,它涉及到信息的隐蔽传输与隐藏。2022中职网络安全国赛将隐写术作为竞赛项目,无疑突显了这一技能在实际应用中的价值。本文将对...
2021中职网络安全国赛内存取证环境
06-21
【标题】2021中职网络安全国赛内存取证环境是全国职业院校技能大赛中的一项重要赛事,它聚焦于网络安全领域中的内存取证技术。内存取证是网络安全应急响应和犯罪调查的关键环节,它通过对计算机系统内存(RAM)的...
2022湖南省中职网络安全技能竞赛
04-06
赛题加解析和环境
2023中职组“网络安全”赛项吉安市任务书
05-31
"2023中职组“网络安全”赛项吉安市任务书" 该任务书涵盖了网络安全领域的多个方面,包括登录安全加固、本地安全策略设置、流量完整性保护、事件监控、服务加固、Windows 操作系统渗透测试、应急响应、系统提权、...
介绍几个绕开JS验证的方法(服务器端验证是必要的)
sage425的专栏
02-18 4606
介绍几个绕开JS验证的方法(服务器端验证是必要的) 如果客户端禁用了 javascript 那如何进行验证
【文件上传漏洞-03】前端JS检测与绕过实例—以upload-labs-1为例
m0_64378913的博客
05-31 2842
目录1 前端JS检测与绕过2 前端JS检测与绕过实例2.1 实验目的2.2 操作环境2.3 前期准备2.4 具体过程2.4.1 文件上传前期盲测2.4.2 方法一:删除JS直接上传2.4.3 方法二:绕过JS后修改数据3 总结 1 前端JS检测与绕过 在前端用了JS 脚本做检测,如检测文件后缀名等 概述:JS 检测绕过上传漏洞常见于用户选择文件上传的场景,如果上传文件的后缀不被允许,则会弹框告知,此时上传文件的数据包并没有发送到服务端,只是在客户端浏览器使用JavaScript对数据包进行检测。 绕过
文件上传之 JS 绕过
WO96354205的博客
04-17 2746
首先上传一个php文件,发现禁止上传。 这里我们需要嘴一个判断,判断是前端还是服务端禁止了。那么如何判断是前端做了检测? ps技巧:通过抓包,如果没有数据则可以判断是前端,否则是后端 源代码如下: 可以看到在代码只允许上传的文件类型. 我们上传一个php文件,发现是没有看到数据的,这里可以判断是js拦截 那么如何绕过 方法1: 我们右键检查元素,删除检测文件类型的代码 οnsubmit="return checkFile() 然后上传s.jpg,使用burpsuit抓包,将s.jpg 改成s.ph
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
绕过JavaScript debugger三种解决方法
wh445306
12-21 9976
最近网上挺火的一段加密混淆JS,格式化展开后有300多行,目的是解析生成一个cookie,不携带cookie,就不能加载网页源码,典型的反爬虫操作。 看后觉得好使的请记得点赞哦!烧鸡么么哒!谢谢:) JS会自动监视是否打开了调试器,如果打开了,就会调用下面这个很恶劣的递归死循环函数,从0开始累加调用,不断弹出debugger窗口,直到你电脑卡死,浏览器崩溃 第一种反调试解决方法: ...
绕过Javascript检查
dlz00001的博客
06-10 201
如今,Web应用程序提供注册页面时,通常会复制密码字段(有时甚至是电子邮件字段)。 通过两次输入密码,它可以确保您没有输入任何错误。 并且您下次尝试登录时不必重置密码。 如果您实际输入密码,这是有道理的。 我,我正在使用密码管理器。 这意味着,我将两次从密码管理器获取的密码进行复制粘贴。 到目前为止,一切都很好。 现在,一些Web应用程序假定人们确实输入了密码。 更糟糕的是,这些应用程...
绕开客户端JS验证
柠檬树
06-18 4380
我们在进行表单提交之前往往要进行表单校验,如文本框是否为空?是否包含为法字段?然而在进行web开发的过程中仅仅进行前端校验是远远不够的。因为能通过一些方式跳过前端的校验,因此服务端也非常有必要写校验的方法。
JavaScript绕过简单原理(1)
csu_vc的博客
07-15 1536
利用Burp suite来拦截POST请求,通过修改HTTP请求来绕过前端的JavaScript验证,并成功地向服务器提交了敏感数据来造成XSS跨站漏洞。JavaScript属于前端验证,在浏览器未提交数据时进行验证,而我们是在通过验证之后还未发出,才拦截的HTTP请求,然后修改数据,使得JavaScript的验证不起作用,由此可以看到通过前端来验证是不可靠的。提示,一定要谨记,前端JavaScri
2023甘肃省职教网络安全竞赛赛题及注意事项
2023甘肃省职业技能大赛“网络安全”赛项(教师组)样题共分为A、B、C、D四个模块,包括基础设施设置与安全加固、网络安全事件响应、数字取证调查和应用安全、CTF 夺旗-攻击以及CTF 夺旗-防御。比赛总分为1000分,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

acaciaf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值