Hi,各位好,好久不玩博客了,最近在新公司无聊的时候,在查看一个其他网站的注册源代码时
发现了一处bug
首先前台页面是这样的结构(不显示相关网站的敏感信息)
这是一个很普通的注册页面,ok,我们看看相关js源代码,找到免费获取验证码的功能
这段代码就是普通的校验手机号,然后发送给短信接口api,60秒的校验重复发送,不知道大家发现问题了吗?
我可以根据url恶意仿造这接口需要的...
分类:
Web程序 时间:
2016-05-13 15:04:05
阅读次数:
311
1.GET/POST 提交方法:区别:get:静态的,不重要的,长度不超过255个字符,会在地址栏显示post:大量的,敏感信息,不会被浏览器缓存,地址栏不可见 2.获取HTTP协议求行:getRequestURI()请求资源:/web01/index.htmlgetRequestURL()包括协议 ...
分类:
Web程序 时间:
2016-05-13 08:14:39
阅读次数:
120
Android常见漏洞
漏洞名称: Log敏感信息泄露
漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露
修改建议: 建议禁止隐私信息的log
漏洞名称: web https校验错误忽略漏洞
漏洞描述: 漏洞可导致中间人攻击
修改建议: 建议不要忽略ssl认证错误
漏洞名称: sql注入漏洞
漏洞描述: 漏洞可能导致用户数据...
分类:
移动开发 时间:
2016-05-12 23:58:09
阅读次数:
496
本文介绍apache安全设置方面的相关内容,感兴趣的朋友可以参考下。一、确保你安装的是最新的补丁如果门是敞开的话,在窗户上加锁就毫无意义。同样道理,如果你没有打补丁,继续下面的操作就没有什么必要。二、隐藏Apache的版本号及其它敏感信息默认情况下,很多Apache安装时会..
分类:
Web程序 时间:
2016-05-08 12:06:53
阅读次数:
230
安装完apache一般第一时间都是关闭apache的版本信息和其他信息,一些黑客会通过apache暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭,配置如下1.隐藏Apache信息1.1主配置中启用httpd-default.conf#vi/usr/local/apache2/conf/httpd.Conf//找到httpd-def..
分类:
Web程序 时间:
2016-05-05 11:14:37
阅读次数:
178
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20) 2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))上面两个是查看 ...
分类:
其他好文 时间:
2016-05-04 23:01:51
阅读次数:
400
今天一同学找到我问我会不会写刷票的软件,因为这个投票活动有别的学院的人用脚本刷票了
我想,天哪,我们计算机学院都还没用脚本呢都被外院抢先了= =
所以研究研究动手写一下
还是老方法,登陆一下抓下包就搞定了- -登陆账号是学号,密码默认值好多好多人都没有改。(所以你用个脚本登陆这个平台抓个人信息也是能抓一些的,我看了看倒没什么敏感信息。ps:之前学校体测网站,默认密码并不是身份证后六位,而是用...
分类:
其他好文 时间:
2016-04-29 19:48:45
阅读次数:
357
服务端模板注入 1、模板注入原理 和常见Web注入的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。 使用 Twi ...
分类:
其他好文 时间:
2016-04-27 22:31:25
阅读次数:
1750
今天一同学找到我问我会不会写刷票的软件,因为这个投票活动有别的学院的人用脚本刷票了
我想,天哪,我们计算机学院都还没用脚本呢都被外院抢先了= =
所以研究研究动手写一下
还是老方法,登陆一下抓下包就搞定了- -登陆账号是学号,密码默认值好多好多人都没有改。(所以你用个脚本登陆这个平台抓个人信息也是能抓一些的,我看了看倒没什么敏感信息。ps:之前学校体测网站,默认密码并不是身份证后六位,而是用...
分类:
其他好文 时间:
2016-04-26 21:47:03
阅读次数:
186
在做webqq或者说app开发的时候,免不了会有接口是有权限的(如查询用户敏感信息等),这时接口安全设计思路就非常重要了。 简单一点,在APP中保存登录数据,每次调用接口时传输 程序员总能给自己找到偷懒的方法,有的程序为了省事,会在用户登录后,直接把用户名和密码保存在本地,然后每次调用后端接口时作为 ...
分类:
移动开发 时间:
2016-04-26 13:57:34
阅读次数:
234
