漏洞修复与Fiddler抓包工具的使用

已于 2025-07-11 10:14:21 修改
阅读量65 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: IDEA-Java各开发环境安装和常见问题解决 Eclipse 配置 JDK环境 和 Tomcat 文章标签: fiddler 测试工具 java
于 2025-07-08 16:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/PY_XAT_SFZL/article/details/149178183

漏洞描述

1. 短信轰炸漏洞

Type:存在三个不同的值。Login是登录处,register是注册账号处的短信验证码获取值,还有一个update值。未注册的用户也可以进行发送短信。

2. 手机号绕过,修改密码漏洞(逻辑漏洞)

目前注册使用手机号与忘记密码的手机号验证测试都可以绕过,
开始想测试是否为任意密码修改,发现只要第一个验证方式身份证和姓名作为绑定,后续会根据这两个参数值进行判定,后续的短信验证码可以进行绕过,除非在某个接口中获取到更多的用户信息就可以进行修改其他用户的密码,随后进行登录。

在这里插入图片描述

3. 个人信息明文传输漏洞

用户在注册时的所有信息均通过明文传输,存在信息泄露安全。

修复方案

1. 短信轰炸漏洞

**修复建议:**增加图形验证码,对手机号进行限制在有效时间内只能允许发一次短信验证码
**修复方案:**①对手机号最后一次发送验证码时间和类型进行记录,调用验证码接口时,根据手机号、类型和时间差额进行判断。
②需要前端配合,生成图片验证码,记录有效时间(3分钟),时间内有效,前后端进行验证成功后再调用发送短信验证码接口。

了解本专栏 订阅专栏 解锁全文
抓包工具Fiddler
謬熙的博客
11-28 1330
Fiddler是一款功能强大的网络调试工具,它作为一个HTTP代理服务器,能够记录、检查所有客户端服务器之间的HTTP(S)请求和响应。Fiddler不仅允许用户监控网络流量,还提供了编辑、重发、转存等功能,使得网络调试和分析变得更加高效。它广泛应用于Web开发和测试领域,尤其是在接口调试、性能分析、安全性测试等方面。Fiddler作为一款功能全面的网络调试工具,其在Web开发和测试领域内的应用极为广泛。
php开发中如何防止抓包工具伪造请求
小司机的奥拓
06-14 426
要防止抓包工具伪造请求,采取一系列的技术和策略来增强应用程序的安全性。
Fiddler抓包HTTPS问题解决指南:使用易语言打造证书修复工具
weixin_35755434的博客
06-05 908
简介:本文详述了Fiddler抓包HTTPS时面临的挑战及解决方案。介绍了为何Fiddler在默认情况下无法直接解密HTTPS流量,并深入阐述了如何使用Fiddler证书修复工具”来解决这一问题。工具通过生成和安装自签名根证书,帮助用户绕过安全限制进行数据解密。文中还指导了工具使用步骤,注意事项,并强调了安全便利性权衡的重要性。
网络嗅探,大神都在用这10个抓包工具(非常详细),零基础入门到精通,看这一篇就够了
baimao__Ch的博客
02-24 1121
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞工具、SQLmap、NMAP、BP、MSF…不过,即便是免费版,也可以支持300种协议,拥有较为出色的流量分析检测功能,标准版则更胜一筹,支持1000多种协议,还允许用户自定义分析会话,实现数据包流量的重建。书籍和学习文档资料是学习网络安全过程中必不可少的,我自己整理技术文档,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,
抓包技术哪家强?还得看这仨
12-03 588
开发人员在调试一个新的API时,使用Wireshark捕获客户端发送的请求和服务器返回的响应,发现请求中的某个参数格式不正确,导致服务器返回错误代码400。开发人员在调试一个新的API时,使用tcpdump捕获客户端发送的请求和服务器返回的响应,发现请求中的某个参数格式不正确,导致服务器返回错误代码400。假设一个Web应用的登录功能出现问题,开发人员可以使用Fiddler捕获登录请求,检查请求参数和响应状态码,发现请求参数中缺少必要的认证信息,从而修复问题。提供丰富的图形界面,便于查看和修改请求和响应。
精通网络数据抓包Fiddler2实战指南
weixin_31620365的博客
07-25 1037
Fiddler2是一款功能强大的web调试代理工具,由微软的开发者开发,以其便捷的操作和强大的功能,广泛应用于开发者和测试者的日常工作中。Fiddler2不仅能捕获和分析HTTP(S)请求和响应,还能进行网络流量的监控,为使用者提供了一个清晰直观的界面,用于查看和调试网络数据。网络数据包是网络通信中数据的基本传输单位,它们在客户端和服务器之间往返传输,承载着用户请求和服务器响应的各种信息。协议则是网络数据包在网络中传输时所遵循的规则集合,它定义了数据包的格式、传输方式、纠错机制等。
JavaScript 和 jQuery 网络抓包工具实战指南
weixin_32047493的博客
06-22 770
JavaScript是实现网页交互性的核心技术,而jQuery作为一个快速、小巧且功能丰富的JavaScript库,极大地简化了JavaScript编程工作。在网络开发中,它们担任着构建动态网页和优化用户体验的重要角色。IEInspector HTTP Analyzer Full Edition v6 是一款专业的网络监控工具,它可以帮助开发者、测试工程师以及安全分析师深入理解HTTP和HTTPS协议,监控和分析网络请求和响应。
Fiddler Classic:网络调试抓包分析的利器
gitblog_06527的博客
09-20 757
Fiddler Classic:网络调试抓包分析的利器 【下载地址】FiddlerClassic安装汉化指南 Fiddler Classic 安装汉化指南本仓库提供了一个资源文件,用于帮助用户下载、安装并汉化 Fiddler Classic ...
网络安全入门必选:十款免费的抓包工具有哪些?
2501_91100273的博客
03-21 797
抓包工具是网络安全和开发中不可或缺的工具,能够帮助用户分析网络流量、调试应用程序、排查网络问题等。以下是几款常用的免费抓包工具,供大家参考。
Fiddler4抓包工具安装使用教程
资源摘要信息: "Fiddler4Setup.exe 是 Fiddler 这款网络抓包工具的安装程序。Fiddler 是一款广泛使用的Web调试代理服务器,它能够记录所有经过HTTP和HTTPS协议传输的网络请求。在进行Web应用开发和测试时,Fiddler...
快速下载Fiddler抓包工具压缩包
同时,也存在一些其他抓包工具,如 Postman 的网络请求捕获功能、Charles(需要付费)、Wireshark(功能全面但操作复杂)等,它们在不同的使用场景中可能成为 Fiddler 的替代品。 总结来说,Fiddler 是一款为网络...
掌握Fiddler抓包工具:提升网络调试效率
- 确保抓包工具运行在目标应用相同的网络环境中,以捕获到正确的流量。 - 抓包时,如果涉及到用户隐私或敏感数据,应确保遵守相关隐私保护法规。 - 在进行网络抓包时,可能会对设备性能造成一定影响,应选择合适的...
Fiddler抓包工具详解大数据分析
Fiddler是一款广泛使用的网络抓包工具,它为网络调试和分析提供了强大的功能。通过Fiddler,用户可以捕获和分析网络上的HTTP和HTTPS流量,这对于开发人员、测试人员、安全研究人员以及对大数据分析有兴趣的人来说是...
Fiddle抓手机app的包
tq02的博客
08-14 1152
Fiddler下载安装汉化,提取手机安装的包
JAVA_TWENTY—ONE_单元测试+注解+反射
m0_73794536的博客
07-29 819
本文介绍了Java单元测试框架JUnit和反射机制的核心概念应用。JUnit部分详细讲解了JUnit4和JUnit5的注解使用(如@Test、@Before等)以及断言机制,通过StringUtil案例演示了单元测试的完整流程。反射部分从Class对象获取、构造器/成员变量/方法操作三方面展开,结合Cat类实例展示了反射API的具体应用,并介绍了反射在框架开发中的重要作用。文章还讲解了注解的定义解析方法,通过模拟JUnit框架的实现演示了注解的实际应用场景。最后简要介绍了动态代理的实现原理,以记录方法执
[spring6: Mvc-网关]-源码解析
...
07-27 372
【代码】[spring6: Mvc-网关]-源码解析。
Allure的安装,在Pytest中的简单使用以及生成测试报告
喜欢专研
07-28 879
Allure Report — Open-source HTML test automation report toolInstall from an archiveMake sure Java version 8 or above installed, and its directory is specified in the environment variable.我们需要在系统环境变量中配置java JDK设置JAVA_HOME环境变量并且JDK版本是8或者8以上如果不会配置可以看一下这一篇(里面
SpringMVC相关基础知识
西木风落
07-26 875
全文涵盖SpringMVC核心机制,包括文件上传、路径匹配、拦截器、异常处理、消息转换等关键技术点。
appium2.0+之PointerActions详解
最新发布
qq_37292005的博客
07-30 501
appium2.0+下,通过PointerActions实现移动设备的单点触控自动化操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PY_XAT_SFZL

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值