投票系统程序设计缺陷分析

最新推荐文章于 2023-07-21 11:04:44 发布
最新推荐文章于 2023-07-21 11:04:44 发布
阅读量1.1k 收藏
点赞数
文章标签: 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhong_yan/article/details/120912202
版权

实训目标

1、了解浏览器插件的使用;
2、了解开发程序员对IP地址获取方式;
3、了解网络协议软件的使用,如burpsuite等;

解题方向

根据页面提示,进行投票页面测试。

首先打开靶场看见如下画面

 根据提示,我们可以得知,此题可以用绕过的方法去做。(其中php获取用户的ip地址,其中的X - Forwarded-For是可以进行绕过的。 所以我们用绕过的方法)

则进行抓包,发送给重发器

添加X-Forwarded-For:192.168.247.1(后面的数字是ip地址,每台电脑不一样所以不必全抄) 

 之后发送给测试器(ctrl+l)进行发送

在可变位置添加字符

选择集束炸弹。

进行攻击

之后进行放包,即可得到答案

 

zhong_yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院-投票系统程序设计缺陷分析
JimWu的博客
09-05 1405
投票系统程序设计缺陷分析 难易程度:★★★ 题目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,进入投票,发现限制ip,每个ip只能投票一次。 2.打开burpsuite,准备暴力破解,再投票一次,截包。 3.截到包,右键send to intruder 4.在下方添加一行X-Forwarded-For:172.16.§0§.§1§ 5.点击payload...
墨者学院 - 投票系统程序设计缺陷分析 - 实践
K_0101的博客
07-23 691
投票系统程序设计缺陷分析 背景介绍 年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。 目标 帮助ggg用户获得票数第一名 解题思路 从上面两张图可以看出,每个人只能投一次,为什么呢? 关于这点,在题目下方的实训目的当中已经很明显的告诉我们了,如图↓ 所以可以肯定的是,股票系统是通过IP地址来确定,是不是同一个人投票的,也就是说,只要批量使用不同的IP地址来进行投票,就可以实现无限制刷票。 话不多说,直接实操! 解
在线靶场-墨者-网络安全3星-投票系统程序设计缺陷分析
weixin_42079912的博客
07-19 514
已知题目是要求我们把ggg投到第一位 打开网站代理,运行burp suite。点击投票,获取数据包 点开数据包右键send to Intruder。往数据包中添加X-Forwarded-For:172.16.§0§.§1§ 更改变量,§0§.§1§。更改后点击start attack。 关闭代理,刷新投票页面即可获取key。 ...
(墨者学院)投票系统程序设计缺陷分析(入门级)
weixin_52162058的博客
03-31 567
(墨者学院)投票系统程序设计缺陷分析(入门级) 使用工具:Burp Suite 这个靶场 他让我们查看这个投票是否存在漏洞 进去之后: 发现只能一次只能一个 每个IP每天只限投一次票!赶快叫上亲朋好友来帮忙投票吧! 这里就有思路了 如果我仿造ip地址呢 x- forwarded-for:(这个是可以伪造IP地址的函数)这样我们就有思路了 我们先抓包看看 发现和前面类似 我们可以添加 x- forwarded-for:172.16.1.1 这个去伪造IP地址 我们需要修改ip地址
CTF-投票系统程序设计缺陷分析
asd158923328的博客
08-24 798
根据题意 进入环境,提示“请争取窗口“ggg”票数夺取第一名”,burp suite抓包,发送到intruder,构造X-Forwarded-For:172.16. §0§.§1§,构造payloads type从1到255 step为1,开始跑,刷新页面,当ggg第一名时即可获得key ...
缺陷管理系统。Apache+PHP+MySQL
05-17
ASP+ACCESS投票系统 Delphi+access题库系统与试卷生成 jsp+access教学反馈系统 Delphi+sql酒店客房餐饮管理系统开发 JSP+Access论坛 Delphi考勤管理系统 JSP+Access网上拍卖平台系统 Delphi+access学籍管理程序 ...
投票系统(基于Java和SQL Server)
11-03
投票系统(基于Java和SQL Server)】是一个典型的Web应用程序,用于实现用户参与投票的功能。这个项目使用了Java编程语言作为后端开发语言,而数据存储则采用了SQL Server 2000作为数据库管理系统。通过MyEclipse ...
PLC实现十人投票机
12-09
控制程序设计思路需要考虑系统的控制逻辑、顺序控制、定时控制等方面。 系统调试及结果分析 在系统调试及结果分析中,我们需要对系统进行调试、测试和优化。调试结果及解决问题需要记录系统的调试结果、解决问题的...
软件测试 缺陷管理工具 bugzilla
01-21
它是一个Web应用程序,可以方便地在各种操作系统上部署,如Windows、Linux和Unix等。在软件开发的生命周期中,Bugzilla扮演着至关重要的角色,因为它帮助团队有效地记录、分配、追踪和解决软件中的问题。 1. **...
(完整word版)电气课设-PLC十人投票机设计.doc
10-24
4. **PLC程序设计**:使用梯形图编程,需要实现的功能包括计票开关启动投票、在15秒内进行投票、投票结果的即时显示以及结果锁定、归零按钮重置系统等。编程中需要考虑时间限制和状态判断,确保系统能准确无误地执行...
mozhe靶场——网络安全——投票系统程序设计缺陷分析
qq_52680340的博客
06-02 825
背景介绍年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。实训目标1、了解浏览器插件的使用;2、了解开发程序员对IP地址获取方式;3、了解网络协议软件的使用,如burpsuite等;解题方向根据页面提示,进行投票页面测试。打开靶场要求为ggg号选手投票让他获得第一名,但是只有一次机会!!!所以怎么给他投更多的票呢????由提示可以看出,它应该是限制IP,也就是一个IP只能投一次。这就要知道PHP获取IP的一些方式,其中
墨者学院——投票系统程序设计缺陷分析
Lollipop_zhi的博客
01-13 2360
启动靶场,给ggg投票,第二次投票不成功,猜测有对IP地址的获取(看页面源代码也可以知道) 可以搜索一下php是怎么获取IP地址的。众所周知,可以通过XFF来伪造IP地址。简单地说,XFF是告诉服务器当前请求者最终ip的http请求头字段,通常可以直接通过修改http头中的X-Forwarded-For字段来仿造请求的最终ip。XFF的一些理解 抓包,进行下图操作 如下图 如下图,数字范围自己定,只要能得第一,不需要太多 开始攻击 看一下返回的数据包,errorcode..
2021-5-25 网络渗透学习:投票系统程序设计缺陷分析
S1901的博客
05-25 468
投票系统程序设计缺陷分析 背景介绍 年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。 实训目标 1、了解浏览器插件的使用; 2、了解开发程序员对IP地址获取方式; 3、了解网络协议软件的使用,如burpsuite等; 解题方向 根据页面提示,进行投票页面测试。 题目要求: 多次投票时,会提示错误: 所以根据实训目标,我们分析到同一IP地址,一天只能投票一次。所以这题解题思路有两个,一是使用代理,更换ip;二是采
网络安全|墨者学院在线靶场|投票系统程序设计缺陷分析
BING
02-20 5231
网络安全|墨者学院在线靶场|投票系统程序设计缺陷分析
墨客-投票系统程序设计缺陷分析-大飞
m0_63917373的博客
07-25 659
墨客-投票系统程序设计缺陷分析 X-Forwarded-For(XFF)的使用案例
墨者—投票系统程序设计缺陷分析
rumil的博客
07-21 155
从标准格式可以看出,X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。选择集束炸弹模式,添加X-Forwarded-For字段,清除标识符,选择X-Forwarder-For字段当中的IP地址的后两个地址段添加标识符。我们随便点开一个进行查看数据,返回的数据包不难发现,没有返回-1,返回0,成功投票。通过返回的数据包发现,当不能投票时返回-1。根据以上的分析和题意,我们可得知。告诉我们机会已经用完。
投票程序中出现的一些问题
Wellcome to hustxxb's Blog ^_^
03-30 1231
1。开发数据库项目时,应当先对数据库进行设计,包括建立哪些表,表中的每一项,哪些是key,数据库的engine类型等等。当设计完数据库之后,围绕建立的数据库进行程序实现的设计。2。指针类型的对象在定义时最好将其初始化为NULL,比如“MYSQL *”等等。3。“char *string = "this is a char string."”被定义和赋初值后,对其进行改变将是危险的,特别是在他后面增
投票系统中遇到的问题
chuangyi5303的博客
12-12 202
mysql语句update已有栏目下添加数据 int类型用+ char类型用concat() eg: updatevotesetnum=num+1,name=concat('$name,',name)wherevote_id=$vote_id ...
微信小程序开发的投票评选系统设计与实现.docx
最新发布
08-16
微信小程序开发的投票评选系统设计与实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值