https://www.anquanke.com/post/id/97671#h3-5 cors; 跨域资源请求 csrf 跨站请求伪造 https://www.jianshu.com/p/4152a4947cdc ...
分类:
其他好文 时间:
2020-07-03 09:12:43
阅读次数:
69
每天一个知识点--CSRF 首先来解释一下什么时CSRF。 CSRF 全称是跨站请求伪造。就是伪造你的请求,干一些别的事情,还要别人相信这确实是你干的,虽然这真的不是你干的。可是谁相信呢。 如何达到这种效果 要达到这种效果也比较简单,只要携带你的认证信息就可以了。因为互联网世界里,服务器不认人脸,只 ...
分类:
其他好文 时间:
2020-07-02 00:23:35
阅读次数:
51
官网 一、简介 Fiddler是比较好用的web代理调试工具之一,它能记录并检查所有客户端与服务端的HTTP/HTTPS请求,能够设置断点,篡改及伪造Request/Response的数据,修改hosts,限制网速,http请求性能统计,简单并发,接口测试,辅助自动化测试,等等。 二、工作原理 fi ...
分类:
其他好文 时间:
2020-06-23 15:57:09
阅读次数:
129
当我们在写论文时,如果论文中的电磁结构是使用遗传算法优化的,那么我们最好给出一个进化曲线。但是我们在设计的时候可能不会去考虑保存进化曲线,这个时候就需要伪造进化曲线,下面提供代码来实现这一功能。 打开shell/GA.m,在倒数第6行处添加两行代码 %添加以下两行代码!!! global bests ...
分类:
其他好文 时间:
2020-06-21 19:55:37
阅读次数:
48
QueryString 传递一个或多个安全性要求不高或是结构简单的数值。但是对于传递数组或对象的话,就不能用这个方法了 session(viewstate) 简单,但易丢失 作用于用户个人,过量的存储会导致服务器内存资源的耗尽。 application 对象的作用范围是整个全局,也就是说对所有用户都 ...
分类:
Web程序 时间:
2020-06-21 13:58:50
阅读次数:
53
直接上脚本吧。 # -*- coding: utf-8 -*- ''' Program:邮件伪造 Function:伪造邮件发送工具 ''' #导入两个库,用来发送邮件,multipart用来构造邮件,带附件的 import smtplib import email.mime.multipart i ...
分类:
其他好文 时间:
2020-06-18 16:05:22
阅读次数:
68
从一到题学习flask的session安全问题 前言 今天偶然翻看一个学长的博客,发现他记录了一道fakebook的一道题;感觉很有意思;就去看了看。 入题 看到一个登陆框; 下意识尝试admin用户登陆。发现无果。所以随意用户登陆;就拿a a来登陆吧;登陆进去之后如下: 这里我们可以提交东西;我f ...
分类:
其他好文 时间:
2020-06-13 09:13:06
阅读次数:
87
#HTTP请求源IP伪造 背景:在有?些?标站点配置了只允许特定的IP访问,在?标验证来源IP不够严苛的情况下, 我们可以伪造IP来达到访 问某些Web应?的?的。 利?的前提是?标站点判断特定IP或者IP段是通过请求头来获取的。 出现点 ?些关键点:后台 重要的?站:?型?络的XXX管理后台、菠菜 ...
分类:
Web程序 时间:
2020-06-11 09:14:21
阅读次数:
249
一、关于SSRF 1.1 简介: SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞,一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能 ...
分类:
Web程序 时间:
2020-06-10 20:59:58
阅读次数:
87
在目标站点配置了之允许特定的ip访问,在目标验证情况弱的情况下,可以通过伪造ip来达到访问的目的。 利用的前提是目标站点判定ip或者ip段子是通过http请求头来获取的。 一般出现的在网站的后台 大型网络后台一般会采用这种ip限制的方式 伪造方法 在http请求包加入特定的请求头和值 X-Forwa ...
分类:
Web程序 时间:
2020-06-10 13:29:38
阅读次数:
86
