1.CSRF(get) 我们先修改个人信息然后抓包看看 我们可以发现参数是以get型提交的,没有做任何的安全验证。 这时我们只需要将127.0.0.1:88/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=66666&add= ...
分类:
其他好文 时间:
2020-06-27 18:36:49
阅读次数:
52
常规操作,设置代理准备抓包,启动APP进行登录,对抓取到的包进行分析,最好抓2次进行对比,分析哪些参数的数据有变化: 将APP进行反编译,我用的jeb,通过搜索关键字"nonceStr"定位到代码块: 参数和抓取到的数据包都对的上,应该就是这里了。 通过分析得知this.pwdMD5 = MD5.m ...
分类:
移动开发 时间:
2020-06-26 14:38:26
阅读次数:
108
1.首先我们去看一下源代码,发现一个Flag.txt,都是乱码,然后我们抓包看一下 2.这个cookie的值很特别,base64解码一下,得到q1234567890p.. 于是我们输入得到提示,磁带的英文tape 3.然后我们又得到一个提示路径/Flag-Win.txt,我么访问一下,btzhy输入 ...
分类:
其他好文 时间:
2020-06-26 14:36:54
阅读次数:
85
Java互联网安全项目架构平台设计。 现在一般项目,都是前后端分离开发。 前后端项目简单架构图如下: 1. 基于网关实现白名单和黑名单拦截(防止恶意请求)、ip限流。 2. api接口实现token授权验证。 3. 使用md5实现api接口验证签名,防止抓包篡改数据。 4. 实现api接口安全加密传 ...
分类:
编程语言 时间:
2020-06-26 14:19:27
阅读次数:
81
此实验为sdnlab上Open vSwitch系列实验。 一、实验目的 了解GRE协议及原理 理解 Open vSwitch如何配置GRE隧道 二、实验原理 Open vSwitch创建GRE原理很简单,就是把对GRE头和外部IP头的一些操作从原来的代码中抽象出来,做成内核“库函数”的形式,然后 O ...
分类:
其他好文 时间:
2020-06-26 13:00:08
阅读次数:
84
下载地址 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。wireshark能获取HTTP、HTTPS但是不能解密HTTPS,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。过滤栏语法帮助的话可以查看wir ...
分类:
其他好文 时间:
2020-06-24 16:09:02
阅读次数:
68
以爱词霸翻译为例:http://fy.iciba.com 为了方便查看,使用筛选器filters只展示fy.iciba.com的请求。 在爱词霸翻译test查看原本结果 一、请求前修改数据: 在fiddler上设置断点:rules-automatic breakpoints-before reque ...
分类:
Web程序 时间:
2020-06-23 19:19:52
阅读次数:
71
官网 一、简介 Fiddler是比较好用的web代理调试工具之一,它能记录并检查所有客户端与服务端的HTTP/HTTPS请求,能够设置断点,篡改及伪造Request/Response的数据,修改hosts,限制网速,http请求性能统计,简单并发,接口测试,辅助自动化测试,等等。 二、工作原理 fi ...
分类:
其他好文 时间:
2020-06-23 15:57:09
阅读次数:
129
首先启动应用和burp开始抓包,应用登录界面输入手机号和密码。 两次登录失败后通过观察数据包发现nonce, codeSign, timestamp这3个字段有变动,timestamp一看就是时间戳所以不用理会,重点分析剩余2个字段。 打开jeb,拖入apk等待加载完成,搜索需要分析的字段codeS ...
分类:
其他好文 时间:
2020-06-23 13:05:09
阅读次数:
79
Fiddler应该都知道,抓包、模拟低带宽、修改请求,Fiddler的本质就是一个HTTP代理服务器。FiddlerCore是Fiddler去除了UI的核心组件,可以用于二次开发。Titanium.Web.Proxy是比FiddlerCore更好用的HTTP(S)代理服务器,本文主要介绍一下使用Ti ...
