ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP

  • kali linux使用社会工程学工具伪造网站2021-01-29 18:03:31

    使用社会工程学工具伪造网站 ​ 社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法,是通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。 ​ 接下来使用kali linux 2下的SET工具进

  • 利用X-Forwarded-For伪造客户端IP漏洞成因及防范(转)2020-12-30 11:36:55

    问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的

  • 伪造微博注册页面2020-12-05 12:58:34

    之前搜索伪造网页的博客时,发现相关内容较少,即使有,大部分也只是将代码罗列上去,不仅缺少图片链接,也缺少伪造思路。于是写下这篇博客,一起交流学习。 官方注册界面与伪造页面对比 两者的区别在于我所伪造的页面背景颜色偏淡,没能与官方页面达成一致。 伪造过程 在官网右键点击“

  • web安全之cookie伪造2020-11-28 19:00:36

       我们注册一个用户登陆上 Cookie都是351e766803开头 我们猜把351e766803后面的值改成admin的md5值 351e766803 21232f297a57a5a743894a0e4a801fc3 修改完cookie bs抓包改,发送 Cookie: session=6c1752d5-ddbf-4d04-9f2a-2c9de2b795bf; PHPSESSID=ubcb0jjgv6m6nrvs38re

  • flask的session伪造2020-07-07 17:34:38

    cookie和session的小姿势 1.cookie 在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题,第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户

  • 彻底理解Cookie session token第一季2020-05-31 14:53:04

    可是如果不保存这些session id ,  怎么验证客户端发给我的session id 的确是我生成的呢?  如果不去验证,我们都不知道他们是不是合法登录的用户, 那些不怀好意的家伙们就可以伪造session id , 为所欲为了。   嗯,对了,关键点就是验证 !   比如说, 小F已经登录了系统, 我给他发一个

  • 邮件伪造之SPF绕过的5种思路2020-05-17 17:56:02

    SMTP(SimpleMail Transfer Protocol)即简单邮件传输协议,正如名字所暗示的那样,它其实是一个非常简单的传输协议,无需身份认证,而且发件人的邮箱地址是可以由发信方任意声明的,利用这个特性可以伪造任意发件人。SPF 出现的目的,就是为了防止随意伪造发件人。SPF,全称为 Sender Policy Fr

  • CSRF跨站请求伪造攻击2020-04-01 14:58:38

    CSRF攻击原理,流程,防范措施   跨站请求伪造(Cross-Site Request Forgery, CSRF或XSRF) 漏洞在Web应用中很常见。攻击者利用目标站点对用户的信任,诱使或强迫用户传输一些未授权的命令到该站点,达到攻击目的。 攻击者伪造的请求之所以能够通过服务器验证,是因为用户的浏览器发送

  • 伪造黄金票据(转)2020-03-11 16:53:44

    第一个问题:如何证明你本人是XXX用户的问题   由Authentication Server负责第二个问题:提供服务的服务器如何知道你有权限访问它提供的服务。当一个Client去访问Server服务器上的某服务时,Server如何判断Client是否有权限来访问自己主机上的服务。 由Ticket Granting Server负责针

  • CTF学习HTTP协议--Cookie伪造2020-03-07 10:02:48

    0x01 基础铺垫 题目关键词 Cookie欺骗、认证、伪造 简述 某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计 算机暂时或永久保存的信息。简单理解就是网站系统验证用户身份的凭证或者说“钥匙”。 0x02 WriteUp

  • 跨站点请求伪造2020-02-27 11:54:29

    CSRF全称是Cross Site Request Forgery,也就是跨站点请求伪造,是一种很常见的Web攻击。 在很多网站的操作中,往往使用者只需要一个Cookie和参数就可以对其内容的增添或者删除的操作,比如搜狐的博客就有: http://blog.sohu.com/manage/entry.do?m=delete&id=156713012 这样当用户登陆的

  • 网络安全问题概述2020-02-19 18:54:32

    网络安全问题概述 1.1.计算机网络面临的安全性威胁 计算机网络上的通信面临以下的四种威胁: (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。可应用于域名重定向,即钓鱼网站。 (4) 伪造——伪造信息在

  • Swaks伪造邮件2020-01-03 13:02:24

    Swaks伪造邮件 文章链接: https://payloads.online/archivers/2019-05-09/1 其他参考内容: https://data.hackinn.com/ppt/HackingDay2019/%E7%BA%A2%E9%98%9F%E8%A1%8C%E5%8A%A8%E4%B9%8B%E9%B1%BC%E5%8F%89%E6%94%BB%E5%87%BBSMTP%20Relay.pdf 检测方式: msf > use auxiliary/sca

  • Web—来源地址和ip伪造2020-01-02 14:54:41

    分析 题目说明:X老师告诉小宁其实xff和referer是可以伪造。 用Burp Suites伪造X-Forwarded-For和Referer获取flag   GET / HTTP/1.1 Host: xxx.xxx.xx.xx:32032 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:53.0) Gecko/20100101 Firefox/55.0 X-Forwarded-For: 12

  • csrf跨站点请求伪造2020-01-01 13:56:40

    什么是csrf(跨站请求伪造)   伪造请求的定义有很多种,我将不是用户本意发出的请求统称为伪造请求(在用户不知情的情况下执行某些操作)xss的通过用户对浏览器的信任造成的,csrf是通过服务器对浏览器的信任造成的 csrf的原理及过程:   假设有a用户和b网站c网站  c网站为恶意网站   

  • pikachu-csrf2019-12-22 11:53:10

        一、get型csrf   1.首先登陆一下,lucy:123456 发现能够登陆 2.我们尝试修改一下个人信息并提交,同时利用BurpSuite抓包查看修改个人信息的请求内容,我们改一下地址          从提交的请求来看,后台没做CSRF token,同时也是通过GET请求来提交修改信息,我们拿到这个,在burp su

  • Nginx隐藏和伪造版本号2019-12-09 18:55:25

    1、默认使用curl命令访问:# curl -I http://172.17.0.5 2、修改nginx.conf配置文件,在http配置段中新增如下代码:# vim /usr/local/nginx/conf/nginx.confserver_tokens off;3、修改fastcgi.conf配置文件,注释如下代码:# vim /usr/local/nginx/conf/fastcgi.conffastcgi_param  SERVER_

  • 提升数字证书知识 秒破伪造SSL证书2019-11-20 21:57:12

    提升数字证书知识 秒破伪造SSL证书下个月又到了3.15,又到了一个打假的大日子。日常生活中,人民最常见的有假钞、假广告、假生活用品等等,对于这些假东西我们早已习以为常。然而,假东西已经蔓延到网络世界,甚至是信息安全行业,严重威胁到网络安全,其中网络加密协议SSL证书就是其中之一。前

  • csrf跨站请求伪造2019-09-25 21:53:27

    跨站请求伪造简介 钓鱼网站 通过制作一个跟正儿八经的网站一模一样的页面,骗取用户输入信息 转账交易从而做手脚 例如:转账交易的请求确确实实是发给了中国银行,账户的钱也是确确实实少了,唯一不一样的地方在于收款人账户不对 内部原理 在让用户输入对方账户的那个input上面做手脚

  • Web安全之跨站伪造请求(CSRF)2019-09-20 11:53:30

    CSRF简介 CSRF全称跨站伪造请求(Cross-site request forgery)也称为one click attack/session riding,还可以缩写为XSRF 通俗说就是利用被害人的身份去发送请求 浏览器的Cookie保护机制 Session Cookie,浏览器不关闭则不失效 本地Cookie,过期时间内不管浏览器关闭与否均不失效 CSRF

  • 渗透之路基础 -- 服务端请求伪造SSRF2019-09-17 09:56:21

    简介:SSRF 服务器端请求伪造,有的大型网站在web应用上提供了从其他服务器获取数据的功能。使用户指定的URL web应用获取图片,下载文件,读取文件内容。通常用于控制web进而探测内网服务以及攻击内网脆弱应用 即当作跳板机,可作为ssrfsocks代理 漏洞危害 内外网的端口和服务扫描 主机本

  • 渗透之路基础 -- 跨站伪造请求CSRF2019-09-17 09:00:34

    漏洞产生原因及原理 跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求。 XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。 与XSS区别 ​ XSS是可以获

  • xff(x-forwarded-for)介绍,某些ctf题目中的利用2019-09-07 22:06:16

    IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,

  • 跨站点请求伪造2019-08-30 14:38:49

     跨站点请求伪造  package com.cloudtech.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletReques

  • 文件上传漏洞——解析、验证、伪造(一)2019-08-26 13:42:00

    title: 文件上传漏洞——解析、验证、伪造(一) 什么是文件上传漏洞? 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这

首页 < 1 2 3 4 > 尾页
关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有