Version:0.1 抓包改包工具 Fiddler 软件名称:Fiddler 软件功能:HTTP代理、HTTP抓包改包 软件性质:收费但可以免费使用 支持平台:Windows 官方下载: "Fiddler" 山里樵夫下载: "FiddlerSetup(v5.0.20192.25091).zip" ...
分类:
其他好文 时间:
2020-04-07 19:57:10
阅读次数:
141
本文仅为了学习交流,严禁非法使用!!! (随笔仅为平时的学习记录,若有错误请大佬指出) 一:越权漏洞 注册某网站后,修改个人地址处(地址处均是随意填写的),开始抓包 直接修改addressid的值,放包,并观察页面变化(由于涉及个人隐私,故全部打码) 再更改一个addressid的值,再次观察页面变 ...
分类:
其他好文 时间:
2020-04-06 13:40:45
阅读次数:
107
信息收集: 主要收集目标主机的相关信息,主要包括端口、服务、漏洞等信息。信息收集手段多样,可借助工具也多种多样。 端口扫描:Nmap 漏洞扫描:awvs\appscan\openvas\nessus等 扫描里用的比较多的就是TCP协议,UDP也用,还有ICMP 传输层控制协议(Transport C ...
分类:
其他好文 时间:
2020-04-05 18:28:07
阅读次数:
114
目录 信息收集基础 1.nmap技术原理与使用 2.主流漏洞扫描器 信息收集: 主要收集目标主机得相关信息 包括端口、服务、漏洞等信息 信息收集手段,可借助工具也可多种多样 端口扫描: Nmap 漏洞扫描: awvs\appscan\openvas\nessus等 TCP协议: 源端口 0-15 目 ...
分类:
其他好文 时间:
2020-04-05 15:21:55
阅读次数:
75
一,Fiddler的工作原理 1,Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求,可以针对特定的HTTP请求,分析请求数据、设置断点、调试web应用、修改请求的数据,甚至可以修改服务器返回的数据,功能非常 ...
分类:
其他好文 时间:
2020-04-05 11:25:02
阅读次数:
95
通过使用Wireshark抓包分析TLS握手的过程,可以更容易理解和验证TLS协议,本文将先介绍Wireshark解密HTTPS流量的方法,然后分别验证TLS握手过程和TLS会话恢复的过程。 一、使用Wireshark解密HTTPS流量的方法 TLS对传输数据进行了加密,直接使用Wireshark查 ...
分类:
Web程序 时间:
2020-04-04 11:37:45
阅读次数:
208
[SCTF2019]Flag Shop 将回日月先反掌;欲作江河惟画地 考点: ruby审计 cookie伪造; 记录一道SCTF的题目,读取robots.txt 发现/filebak 进行读取。是ruby; 抓包进行测试,发现每一次工作之后cookie都会发生改变,结合源码,发现cookie加密方 ...
分类:
其他好文 时间:
2020-04-03 12:25:59
阅读次数:
138
Linux tcpdump命令用于倾倒网络传输数据。 执行tcpdump指令可列出经过指定网络界面的数据包文件头,在Linux操作系统中,你必须是系统管理员。 简单说一句话 抓包 常用的参数: -c:指定要抓取的包数量。 -i interface:指定tcpdump需要监听的接口。默认会抓取第一个网 ...
分类:
系统相关 时间:
2020-04-01 19:40:09
阅读次数:
76
never give up 一定要注意源码里的注释 给了一个文件,反正也没有别的线索,先去访问一下,发现自动跳转了,应该是有 window.location.href 之类的重定向 有三个方法可以看到这个页面: 1. 在链接前面加 view source: 2. 用爬虫,直接爬你想看到的页面 3. ...
分类:
其他好文 时间:
2020-04-01 19:31:49
阅读次数:
74
逻辑漏洞 逻辑漏洞是指由于开发者不够严谨,导致程序在处理用户参数的过程中在逻辑上出现漏洞 常见逻辑漏洞 任意用户注册 短信轰炸、邮箱轰炸 密码重置绕过验证 订单价格修改 接口枚举 登录凭证绕过 实战 打开页面发现有用户注册和登录功能 我们先注册一个账号,在邮箱验证处用burp抓包重放看看可否绕过验证 ...
分类:
其他好文 时间:
2020-03-31 21:00:24
阅读次数:
224
