doyo靶场测试

最新推荐文章于 2024-07-14 01:27:17 发布
最新推荐文章于 2024-07-14 01:27:17 发布
阅读量679 收藏 8
点赞数 10
分类专栏: 技术篇 文章标签: web安全 安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lyy8910599download/article/details/135831546
版权
本文讲述了在本地环境中发现的用户注册漏洞和支付漏洞,涉及抓包、接口测试和财务异常情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本地靶场环境:http://doyo/

1.任意用户注册

注册,抓包,尝试批量注册

这个接口可以爆破出已存在的账号704标识已存在的账号,703标识未注册的账号

找一个未注册账号,抓包,放两次包找到注册接口

2.支付逻辑漏洞

购买数量0竟然可以下单并支付

重新购买一件,数量改成-100提交订单,显示如下

常看看能否提交并支付成功

竟然支付成功,待发货,查看财务记录,竟然一下多了13800元,哈哈

[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
杨秀璋的专栏
03-27 1万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的。本文详细讲解了hack the box机器配置,通过OpenAdmin题目分享管理员权限Flag获取流程,希望对您有所帮助。同时,该网站题目细节不便于透露,推荐大家亲自去尝试,本文更多的分享一些思想。
〖Python接口自动化测试实战篇⑨〗- 实战 - 某旅游网经典流程的接口测试
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
05-31 4万+
在前面的几个章节中,我们对接口测试的基本概念、抓包过程、以及怎样通过一个简单 python 脚本实现接口的调用进行了学习,接下来将真正的针对一个接近真实项目的慕旅游网的经典流程进行接口测试的实战演练。...
DOYO网站xss漏洞测试
明哥哥知识分享
08-27 1424
一、寻找xss漏洞 一般想获取最高权限,就要找存储型xss漏洞,这样的漏洞是服务器和浏览器进行数据交换的,有利于数据写入进去。一般留言板、评论区可能性最大。 1、评论区 <script>alert(1111)</script> 弹出1111,证明咱们找到评论区xss的漏洞了。并且代码也执行了。 2、留言板 aaaaa<script>alert(222)</script> 由于这个留言需要管理员审查,我们去后台看一下,有没有弹窗。
[zkaq靶场]逻辑漏洞--支付漏洞
wwxxee
05-10 1563
逻辑漏洞–支付漏洞 案例: 修改支付价格:https://www.uedbox.com/post/22477/ 修改支付状态:https://www.uedbox.com/post/24090/ 修改优惠券积分:http://woo.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0156253 修改订单数量:https://www.uedbox.com/post/23143/ 越权支付:买自己的东西,扣别人的钱 防御方法: 后端检查每一项值,包括支付状态。
DOYO通用建站系统 2.3.rar
05-23
DOYO通用建站系统采用PHP与MYSQL开发,是免费开源的CMS建站、企业建站系统,可广泛用于个人、企业、政府、机构等众多网站建设。DOYO通用建站系统 2.3 增加与完善功能如下:2014-04-251、支付、购物功能,其中包括:支付平台、购物车、虚拟商品、实物商品、内容商品、会员充值、订单、商品属性、虚拟货物自动发货、财务记录、会员级别优惠等功能。2、水印缩略强化,支持按栏目按字段指定缩略图大小设置。3、调整程序目录接口,开放修改后台入口及文件名。4、加入表单调用标签,可以在任意位置调用表单发布form5、自定义频道功能,可以自由增加自定义频道,独立数据表结构。6、自定义字段增加频道关联类型,可指定不同频道内容互相关联。7、loop、sql标签增加分页功能。8、html生成目录增加栏目目录标签9、优化远程图片自动获取功能,图片抓取更精准,优化验证码显示。10、调整会员登陆状态、评论为ajax刷新,实现静态化下的实时更新。11、优化html静态生成功能,建议开启curl函数,大幅提升生成效率。12、增加模板导入导出工具,同步备份现有模板及数据,方便模板安装转移和分享。13、增加模板附件(图片、样式表、js)目录,增强模板安全性。14、全新的会员权限机制,增加会员找回密码等功能。15、上传功能采用全新的DOYO原创图片上传插件,大幅提高上传效率及兼容性。16、更换编辑器为kindeditor17、增加系统安全密钥功能,对隐私数据进行加密处理,进一步提高安全性能18、其他多达50处细节功能优化调整,进一步提成兼容性、执行效率等。 特色: 1、架构轻盈,完全免费与开源 采用轻量MVC架构开发,兼顾效率与拓展性。全局高效缓存,打造飞速体验。 2、功能自由搭配,保证系统纯净 全插件机制,安装卸载全绿色操作,无残留,对系统臃肿零容忍,最小仅数百K。 3、让简洁与强大并存 强大字段自定义功能,完善的后台开关模块,不会编程也能搭建各类网站系统。 4、会员、留言、投稿神马一个不能少 不断升级完善的模块与插件,灵活的组装与自定义设置,满足你的多样需求。 5、安装、升级、备份、转移一键完成 一键安装、一键升级、一键备份、一键转移。从此,让你的网站维护变得如此轻松。 6、顶级的配套服务 超级精美的模版库,精选国内性价比、速度、安全最佳的空间,让你远离挑选的烦恼。 系统功能: 1、功能频道:内容频道(强大自定义功能)、产品频道(强大自定义功能)、交互(留言)频道,可以自由添加频道2、插件模块:支付管理、购物管理、会员管理、广告管理、专题管理、评论管理、链接管理等3、系统功能:静态HTML生成、自定义模板标签、附件清理、数据备份恢复4、在线升级:一键自动在线安全补丁升级,免除维护烦恼5、自定义字段:强大的自定义字段功能,可按栏目、频道添加各种输入字段,包括文本、数字、单选、多选、编辑器、单附件、多附件、频道关联,并可针对附件单独制定缩略图设置6、搜索引擎优化:独立的页面优化信息设置,方便快捷7、HTML静态:全站纯静态生成功能8、伪静态:全站伪静态功能,可自由指定伪静态规则9、附件检测:自动附件清理功能,一键清除未使用多余附件,保持系统纯净10、高效缓存:全站高效缓存机制,运行飞速体验11、模板代码生成器:自带模板调用生成器,零基础也能快速制作模板标签12、全功能权限设定:分组机制管理权限设定,全功能全栏目均可指定管理权限13、数据库操作:一键备份、一键恢复、一键转移空间,方便快捷
(二阶段)业务逻辑3-支付漏洞
Settle_accounts的博客
04-07 242
首先注册两个用户test1和test2。web服务器采用Apache。数据库服务采用MySQL。
API安全学习 - crAPI漏洞靶场与API测试思路
好好睡觉
09-07 3865
crAPI靶场教程、API安全
API测试(一):PortSwigger靶场笔记
最新发布
aaaadoga的博客
07-14 1121
这篇文章是关于作者在学习PortSwigger的API Test类型漏洞时的记录和学习笔记
越权——靶场操作记录
wulanlin的博客
01-05 267
越权漏洞越权分为两种:一种为水平越权,一种为垂直越权。 水平越权:指同权限之间能相互修改或查看对方的资料(比如:同为用户 用户A可以查看用户B的资料) 垂直越权:指低权限用户能够修改或查看高权限用户的资料(比如:用户组A能够拥有管理组B的权限) 进入靶场 此处提供注册(不能提供注册的利用信息收集) 先注册两个账号用户1:twalone用户2: twalone1 先进行两个号的水平越权 使用BurpSuite抓包 配置好BurpSuite在此页面F5刷新后 查看twa...
vAPI-API漏洞靶场通关指南
piaolin_ying的博客
05-06 4617
基础准备 VAPI介绍 vAPI是一款针对OWASP Top 10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。 安装(Docker) git clone https://github.com/roottusk/vapi.git cd vapi/ docker-compose up -d 安装完成默认后访问 http://IP:80/vapi/ 即可访问 vAPI。 Postman配置 Postman是一个独
DoyoCms 后台登录提示Uncaught SyntaxError: Unexpected token错误
u014079531的博客
08-24 2059
今天发现了一款简洁的cms系统“Doyo”。安装成功后准备登录一下后台看一下,可以正确输入账号密码之后,页面没有正常的跳到管理页面,而依旧是回到了登录页面。 本能的点开了F12,希望先在前端找找错误,结果console中没有任何提示,选中Preserve log后再次操作提示如题错误。上网搜了一大堆解决方案,隐隐感觉并不是我所想要的答案。牛劲顿时迸发,调试源代码走起。 最后找到了source/
zzcms靶场测试
喜欢创作各种技术类文章,希望可以帮到你
01-23 2073
(1)过滤输入的数据,对例如:“ ‘ ”,“ “ ”,” “,” on* “,script、iframe等危险字符进行严格的检查。对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行检查。为了应对这些潜在的风险,企业应采取一系列的安全措施,包括但不限于更新软件至最新的安全补丁版本、加强内部管理和加密敏感信息,同时建立和完善安全策略和措施,并进行定期的安全检查和测试。(3)不仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
手机root之Su
喜欢创作各种技术类文章,希望可以帮到你
05-21 1060
手机root之Su
透明状态栏
喜欢创作各种技术类文章,希望可以帮到你
06-30 727
透明状态栏透明状态栏透明状态栏透明状态栏透明状态栏
墨者靶场登录密码重置漏洞分析溯源关卡
喜欢创作各种技术类文章,希望可以帮到你
01-24 666
显示手机号不存在,下面提示:你已注册的手机号为:18868345809,输入获取验证码。获取到验证码,然后再把需要重置密码的手机号17101304128填入,点击重置密码。提示重置17101304128登录密码,我们。获得key,然后退出来提交key即可过关。注册并登录墨者学院,搜索登录密码重置。下图,填好信息点击获取。
Installation error: INSTALL_FAILED_UID_CHANGED 的解决办法 Skip to end of metadata
喜欢创作各种技术类文章,希望可以帮到你
05-21 551
Installation error: INSTALL_FAILED_UID_CHANGED 的解决办法 Skip to end of metadata
Android短彩信数据库解析
喜欢创作各种技术类文章,希望可以帮到你
05-21 526
Android短彩信数据库解析
DOYO 2.3版本:中小企业网站构建新选择
从给定文件信息中,我们可以提炼出一些关于DOYO源码的知识点,这些内容将围绕着DOYO的特性、适用场景以及版本信息进行详细的说明。 首先,关于标题和描述中提到的“DOYO源码最新”,我们可以解读出以下知识点: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值