逻辑漏洞是一种比较常见的漏洞,在漏洞挖掘过程中有时也很容易遇见。通常漏洞有:任意密码修改,支付漏洞,密码找回,越权等注册处常见的漏洞有:1.任意用户注册挖掘方法:一般用a手机号接受短信,然后再用b接收...
01月14日86 views评论web
数据包
Web安全——逻辑漏洞浅析
01月14日86 views评论web
数据包
01月14日86 views评论web
数据包
【Cheetah语言】Cheetah语言编写验证码识别爆破脚本
靶机实战-密码重置与身份认证失效漏洞
浅谈渗透江湖之细水柔情
这是 酒仙桥六号部队 的第 19 篇文章。全文共计4030个字,预计阅读时长12分钟。1前言在渗透测试的江湖里,不只有getshell后在刀光剑影的内网中拿下域...
01月06日75 views评论逻辑漏洞
验证码
业务逻辑漏洞
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞 关注重点 业务流程 HTTP/HTTPS 请求分析 详情可看此篇https://github.com/P...
01月06日61 views评论逻辑
验证码
卷积神经网络结合burpsuite实现渗透测试中的验证码爆破
前言首先,在这里要感谢c0ny1师傅开发的captcha-killer插件和Nick li大佬的开源项目,还有miniboom师傅提供的思路在平时我们进行渗透测试的时候,常常会遇到下面这种情况在网站的...
01月05日74 views卷积神经网络结合burpsuite实现渗透测试中的验证码爆破已关闭评论爆破
验证码
渗透测试Tips
知己知彼,百战不殆1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步攻击。2、程序溢出,int最大值为2147483647,可尝试使用该值进行整数溢出,...
01月05日117 views评论手机号
验证码
记一次某产品WEB端登录密码加密分析
WinterSolstice点击蓝字 关注我们前言特别声明:本篇文章只用来作为技术分享,请勿将此技术用于违法活动上。不得将以下内容用于商业或者非法用途,否则,一切后果请读者自负。再次声明,仅供学习研究...
01月03日90 views评论加密
验证码
web安全入门之浅析暴力破解中的验证码
入门级别的文章,适合新手食用,大佬请忽略~(勿喷,我最近天天被喷)=====前言=====验证码(CAPTCHA)是“Completely Automated Public Turing test t...
12月30日142 views评论web
客户端
如何设计相对安全的图形验证码?
点击上方蓝色字关注我们~今天,我将结合自己以往在安全测试方面的一些经验,简单的分享一下图形验证码相关的安全问题,要回答上面这个问题,我们需要先了解一些关于图形验证码的基本知识。验证码是什么?验证码(C...
12月23日126 views评论全自动
验证码
某湃新闻APP之登录验证码下发短信分析
前言分析算法,这个事情...我发现了。是真上瘾...(PS:从某米应用商店下载了一整页的APP...)工具fiddler(抓网络数据包用)jadx-gui(APP反编译用)易语言(复现用)算法助手(可...
12月23日91 views评论app
数据包
任意账号密码重置的6种方法
一、短信验证码回传1、原理 通过手机找回密码,响应包中包含短信验证码2、案例 某网站选择用手机找回密码:点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示:3、修复建议响应包中去掉短信验证码...
12月22日485 views评论密码
服务端
21