资源消耗漏洞+支付漏洞+抓包练习

admin 2022年11月2日02:03:47移动安全评论20 views711字阅读2分22秒阅读模式

文章来源 | MS08067 Web高级攻防第5期作业

本文作者:a_xupeng888(Web高级攻防5期学员)

资源消耗漏洞的定义

资源消耗漏洞指的是部分功能点或部分接口在实现功能时需要请求资源,若该接口并没有进行对应的限制,则攻击者可以通过频繁的调用该接口而消耗服务器内部的资源,从而导致包括但不限于:服务器宕机、拒绝服务、资源被滥用、配合钓鱼等实现进一步的攻击。

案例一:资源消耗漏洞练习

访问靶场发现有图片验证码

资源消耗漏洞+支付漏洞+抓包练习右键在新标签中打开图片验证码,并抓包。更改大小,长,宽。

资源消耗漏洞+支付漏洞+抓包练习放到重发器观看,发现明显发包变大了。

资源消耗漏洞+支付漏洞+抓包练习

修复方案

将节流机制设计到系统体系结构中。最好的保护措施是限制未经授权的用户可能导致消耗的资源量。强大的身份验证和访问控制模型将首先帮助防止此类攻击的发生。应尽可能保护登录应用程序免受DoS攻击。限制数据库访问(可能通过缓存结果集)可以帮助最大程度地减少消耗的资源。为了进一步限制发生DoS攻击的可能性,请考虑跟踪从用户收到的请求的速率,并阻止超出定义的速率阈值的请求。

案例二:支付漏洞练习

打开界面我们看的金额都是100

资源消耗漏洞+支付漏洞+抓包练习抓包,修改金额,将100改成1

资源消耗漏洞+支付漏洞+抓包练习成功

资源消耗漏洞+支付漏洞+抓包练习

案例三:羊了个羊

使用fiddler和burp进行抓包 fiddler 配置手动代理

资源消耗漏洞+支付漏洞+抓包练习burp配置本地代理

资源消耗漏洞+支付漏洞+抓包练习打开羊了羊进行抓包 点击加入羊群,第一次map_id=80001,第二次是90017改成8001,发包。

资源消耗漏洞+支付漏洞+抓包练习成功资源消耗漏洞+支付漏洞+抓包练习

第二步改排行榜,点击排行榜抓包,更改排行榜的数值

资源消耗漏洞+支付漏洞+抓包练习在bp的options添加规则,下次自动就改了

资源消耗漏洞+支付漏洞+抓包练习查看排名

资源消耗漏洞+支付漏洞+抓包练习

资源消耗漏洞+支付漏洞+抓包练习

—  实验室旗下直播培训课程  —










资源消耗漏洞+支付漏洞+抓包练习

资源消耗漏洞+支付漏洞+抓包练习

资源消耗漏洞+支付漏洞+抓包练习

资源消耗漏洞+支付漏洞+抓包练习

资源消耗漏洞+支付漏洞+抓包练习

资源消耗漏洞+支付漏洞+抓包练习


来和10000+位同学加入MS08067一起学习吧!


资源消耗漏洞+支付漏洞+抓包练习


原文始发于微信公众号(Ms08067安全实验室):资源消耗漏洞+支付漏洞+抓包练习

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月2日02:03:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  资源消耗漏洞+支付漏洞+抓包练习 http://cn-sec.com/archives/1383823.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: