- 博客(4)
- 收藏
- 关注
RSS订阅原创 记录几个绕过身份验证漏洞的挖掘案例
记录几个绕过身份验证漏洞的挖掘案例为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等,但程序员在涉及验证方法时可能存在缺陷导致被绕过。针对这些验证问题,分享一下自己在某银行挖到的身份绕过验证漏洞案例。案例一:某出入系统存在验证绕过问题,导致任意账号登录。(一)首先正常走一遍登录流程,通过抓包抓到登录成功的返回包,如下所示:{“code”:200,“msg”:“校验成功”,“data”:{
2020-12-07 15:19:03
1905
1
原创 邮件钓鱼实验之Gophish
一、工具下载相关钓鱼平台工具:Gophish下载地址:https://github.com/gophish/gophish/releases/二、环境搭建下载后解压到本地,打开gophishing.exe即可运行服务它在本地80端口开启钓鱼网站,因此如果不是内网钓鱼环境,需要将其架设在公网服务器上。默认端口3333,默认用户名密码为:admin/gophish。后台登陆页面进入后台即可进行实战配置三、实战配置GoPhish1、配置发送的邮箱信息这里用的是QQ的邮箱(注:无
2020-07-21 17:12:55
7143
原创 如何关闭135,139,445高危端口
关闭135,139,445高危端口方法方法一:防火墙关闭高危端口其一:拒绝所有IP访问135、139、445端口1、打开“控制面板”→打开“系统和安全”→打开“系统和安全”→打开“windows防火墙”2、点击“高级设置”3、选中“入站规则”→鼠标右点击“新建规则”4、选择“端口” -->下一步5、在红色框中 特定本地端口 输入“135,139,445” --下一步...
2019-11-14 17:43:14
32075
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人