Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。这块主要是验证流程出现了逻辑漏洞 ...
分类:
其他好文 时间:
2020-02-13 14:49:49
阅读次数:
89
1.CSRF简介 CSRF的全名是Cross Site Request Forgery(跨站请求伪造),是一种诱使用户访问一个页面,然后盗用该用户身份在第三方站点里执行一次操作的攻击手段,其本质原因在于重要操作的所有参数都是可以被攻击者猜测到的。 2.CSRF检测 2.1 收集CSRF有利用价值的点 ...
分类:
其他好文 时间:
2020-02-13 00:17:50
阅读次数:
63
钓鱼网站 钓鱼网站和正规网站的页面一模一样,提交网页数据的url也一样,但是会在页面中设置隐藏属性的form表单。例如转账:给用户书写的form表单,对方账号的input没有name属性,然后另外写一个具有默认的并且是隐藏的具有name属性的input框。 form表单如何通过csrf校验 为了防止 ...
分类:
其他好文 时间:
2020-02-07 20:37:46
阅读次数:
62
黄金票据 黄金票据的条件要求: 1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot] 2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value] 3.域的KRBTGT账户NTLM密码哈希 4.伪造用户名 一 ...
分类:
其他好文 时间:
2020-02-06 16:17:21
阅读次数:
969
HTTP协议 什么是HTTP协议 (HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP 工作原 ...
分类:
Web程序 时间:
2020-02-04 15:35:38
阅读次数:
170
Ettercap工具 Ettercap是Linux下一个强大的欺骗工具,也适用于Windows。用户能够使用Ettercap工具快速地创建伪造的包,实现从网络适配器到应用软件各种级别的包,绑定监听数据到一个本地端口等。 使用Ettercap分析密码的具体操作步骤如下所示。 (1)配置Ettercap ...
分类:
其他好文 时间:
2020-01-31 18:49:24
阅读次数:
105
CSRF Cross Site Request Forgy 跨站请求伪造 需要条件 用户登录 A 网站 A 网站确认身份 B 网站页面向 A 网站发起请求(带 A 网站身份) CRSF 攻击危害 利用用户登录态 盗取用户资金(转账,消费) 用户不知情 冒充用户发帖背锅 完成业务请求 损坏网站名誉 . ...
分类:
其他好文 时间:
2020-01-30 21:19:11
阅读次数:
108
0x00知识点 了解HTTP协议,使用bp伪造。 0x01 解题 首先查看源代码,找到Secret.php 访问 使用bp查看 提示我们需要来自该网址,直接改header头信息即可,我们可以通过使用referer头来修改 提示我们需要使用”Syclover”浏览器,这里直接修改UA头即可 下一步要求 ...
分类:
Web程序 时间:
2020-01-27 22:07:11
阅读次数:
518
摘要 提出一种新的图像表示称为face X-ray,用于检测伪造的人脸。一个输入人脸的face X-ray是灰度图,可表明输入图是否可分解为两张不同源图像的合成。它通过显示伪造图像的混合边界和真实图像的absence来实现。绝大多数人脸变换算法有一个共同步骤:将更改后的脸部混合到现有背景图像中。为此 ...
分类:
其他好文 时间:
2020-01-27 19:22:43
阅读次数:
1019
什么是 CSRF Cross-site request forgery( 跨站请求伪造 ) CSRF 利用服务器对用户浏览器的信任 被攻击网站依赖用户的身份认证 攻击者使得用户的浏览器发送 HTTP 请求到目标网站 CSRF 的步骤(用户浏览器主动完成) 攻击者确定目标网站(存在CSRF漏洞的网站: ...
分类:
Web程序 时间:
2020-01-27 12:38:32
阅读次数:
92
