攻防世界练习(web篇2)

最新推荐文章于 2024-08-29 15:05:56 发布
最新推荐文章于 2024-08-29 15:05:56 发布
阅读量69 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63842644/article/details/124814775
版权
本文介绍了在攻防世界平台的一个Web安全练习,通过探索报表中心页面,发现时间ID始终为1,进一步使用Burp Suite进行数字爆破,最终找到长度异常的ID,输入2333成功获取flag,揭示了Web安全中的潜在漏洞利用方法。
摘要由CSDN通过智能技术生成

根据题目提示进入报表中心

干干净净的,先操作试一下。

 

发现怎么改时间都是id=1,输入字母、符号也会变成1,只有输入数字时才会改变。

那就用burp爆破试一下

发送到Intruder

选好攻击位置

 

 构造payload,选择数字型(numbers)

最低0.47元/天 解锁文章
海纳百川830
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界练习web1)
weixin_63842644的博客
05-03 826
题目提示是初始界面,百度问一下原来是index.php。进题目看一下。 在地址里的1.php改为index.php回车发现回到了1.php。 让我们进入万能的F12 果然找到了index.php。查看一下消息头 这不就找到了。 最后复习一下网址初始页面一般有index.php,default.php,index.html等 那么为什么我进入index.php,会跳转到1.php呢? 搜索发现是因为302跳转(302 Found)起了一个类似于手机呼叫转移的功能,302表示文件临时...
攻防世界Web新手练习
m0_63944500的博客
11-19 2336
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界——Web新手练习
weixin_65049289的博客
12-18 951
攻防世界——Web新手练习
攻防世界-WEB新手练习
weixin_42271850的博客
02-05 1116
简述 这一算是自己的第一博客,写的目的主要是回顾一下一个月前学习CTFWEB方向时的相关知识。因为那时刚刚接触网络安全也刚刚接触CTF,基本一题都不会做,老是看了一下题目就去网上搜相关的writeup了。现在做完了12道初级的题目后,打算重新做一遍,按着自己学习到的思路过一遍,也算是一种积累和沉淀吧。 一、view_source 从题目就能看到提示,是需要我们去查看源代码的,但是页面...
攻防世界WEB练习-easyupload
不知名白帽的博客
09-01 9275
攻防世界WEB练习-easyupload
攻防世界web练习2
H_S2022的博客
05-09 137
攻防世界web练习2
攻防世界web练习区题目解答
weixin_46262057的博客
03-22 4853
xctfweb练习区题目解答。
攻防世界web练习11
H_S2022的博客
07-13 237
攻防世界web练习
攻防世界web练习6
H_S2022的博客
05-15 172
攻防世界web练习 六、weak_auth(弱授权) 小宁写了一个登陆验证页面,随手就设了一个密码。 http://111.200.241.244:60546/ [目标] 了解弱口令,掌握爆破方法 [环境] windows10专业版 [工具] burp suite + 字典 + Firefox中的代理插件——foxyproxy [步骤] 1.随便输入一组用户名和密码,提示要用admin用户登录,然后跳转到了check.php,改为admin登录,但不知道密码,则暴力破解 2.用burp suite拦截下登
乾元通渠道商中标湖南省煤业集团公司安全生产预防和应急救援能力建设装备配备采购项目
QDLL123的博客
08-29 105
近日,乾元通渠道商中标湖南省煤业集团安全生产预防和应急救援能力建设装备配备采购项目,乾元通作为聚合通讯保障技术厂家,为项目一标段卫星通讯指挥车提供车载聚合路由器终端及系统。
Python编码系列—Python中的HTTPS与加密技术:构建安全的网络通信
u013889591的专栏
08-26 1237
在当今的网络世界中,数据安全和隐私保护变得越来越重要。HTTPS作为HTTP的安全版本,通过SSL/TLS协议对数据进行加密,确保了数据传输的安全性。Python作为一门强大的编程语言,提供了丰富的库和工具来支持HTTPS和加密技术。本文将深入探讨Python中HTTPS和加密技术的原理、实际应用,并结合实际项目案例,为CSDN社区的读者们展示如何在Python中实现安全的网络通信。
快速安全部署 Tomcat
最新发布
m0_70851096的博客
08-29 221
可以看见,即使172.25.254.10的Tomcat服务宕掉后,会话依然可以正常进行,并没有导致提交的数据丢失。有时候,当客户访问Tomcat时,恰巧Tomcat宕机,导致客户提交的数据丢失,给用户带来不好的体验。此时暂停 172.25.254.10 的 Tomcat 服务。需要部署Tomcat会话共享,避免这种情况发生。然后输入ccc 333 点击提交。目前配置中存在的问题。
网络安全教程初级简介
网络研究观
08-26 518
网络安全包括一系列技术、流程和实践,用于保护网络、设备、应用程序和数据免受攻击、盗窃或损坏等威胁。
基于视觉识别引擎+深度学习实现安全保障数字化的智慧城管开源了
weixin_63598920的博客
08-26 603
智慧城管视觉监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。
等保测评中的安全测试方法
w13359990065的博客
08-26 638
通过物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评等多层次的综合评估,可以有效识别系统中的安全隐患,提升信息系统的整体安全防护能力,满足国家相关法律法规的要求,助力企业提升行业竞争力。在等保测评中,安全测试方法的有效实施离不开专业的测评团队和科学的测评流程。测评团队需具备丰富的安全测试经验和专业知识,能够准确识别系统中的安全风险并提出切实可行的整改建议。首先,等保测评中的安全测试方法涵盖了多个层面,包括但不限于物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评。
openEuler:ssh 管理和安全
Marklee的博客
08-26 1133
ssh 为 secure shell,是一种网络安全协议,通过加密和认证的方式实现远程安全登录,文件传输等服务。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。但是在近期,OpenSSH 爆出首个远程执行漏洞 CVE-2024-6387 ,这个漏洞允许攻击者在特定条件下绕过身份验证或者执行未被授权的操作OpenSSH是一个完整的、开源的 SSH 协议实现工具包。
k8s安全
ljj19910401的博客
08-29 533
Kubernetes(k8s)的安全机制是围绕保护其API Server来设计的,主要包括认证(Authentication)、鉴权(Authorization)和准入控制(Admission Control)三个核心环节。
Django框架安全
brucexia的专栏
08-29 578
Django框架安全中包括了保护Django驱动的网站的建议,具体内容如下:1. 跨站点脚本(XSS)保护XSS攻击使用户可以将客户端脚本注入其他用户的浏览器中。只要在包含数据到页面中之前未对数据进行充分的清理,XSS攻击就可以源自任何不受信任的数据源,例如Cookie或Web服务。使用Django模板可保护站点免受大多数XSS攻击,但更重要的是要了解其提供的保护及其限制。Django模板会转义特定字符,这对于HTML来说尤其危险。尽管这可以保护用户免受大多数恶意输入的侵害,但这并不是绝对安全的。
Web应用安全实战:黑客攻防宝典第2版
《黑客攻防技术宝典:第2版 - Web实战》是一本由英国专家Dafydd Stuttard和Marcus Pinto合著的权威指南,着重于Web应用程序的安全防护和渗透测试。该书在网络安全领域具有重要地位,随着互联网的广泛应用,Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值