通过系统架构漏洞获取系统VIP资源
2024-10-19 03:26:39
首先说我的构思:
一本小说,有很多集,每一集请求下载都会生成一个k的json,例如:
有了这个k我们就可以定位到这一集具体的位置,这本小说是固定的id,每一集的K找到了,剩下的不就简单了。
再通过抓包方式,获取下载的请求:
总结:
这是我的第一个成功Hacker案例,通过系统架构缺陷,跳过vip验证,成功下载vip资源。再回顾下之前的案例,回想起当时做了多少的无用功浪费了多少的时间,真的是蛋疼....
怎么才能解决这样的安全漏洞呢?
1/系统强制屏蔽某些特殊符
2/将一些常用敏感词汇进行转码
3/选择优秀框架
4/对重要会话进行唯一标示规范
5/根据重要业务避免使用GET方式提交请求
老套通俗的话了,自己去理解吧。
不想做黑客的安全测试不是优秀的cybercop。怎么才能算是优秀的cybercop呢?那么就就必须学会或懂的黑客惯用一些手法与业内所流行的一些漏洞。加QQ群:136611782
最新文章
- KM模板
- android 资讯阅读器(二)
- Hibernate单向多对一对象关系模型映射
- JavaScript-求时间差
- python+selenium实现跨浏览器兼容性测试
- Android利用数据库传送数据
- 工作流学习——Activiti流程定义管理三步曲 (zhuan)
- java基础知识再学习--HashMap与ConcurrentHashMap的区别
- ListView之SimpleAdapter
- u Calculate e
- 借助OpenOffice实现office转pdf(Java)的.exe小程序
- 深入理解YYCache
- 团队作业——Alpha冲刺之事后诸葛亮
- scrapy-redis功能简介
- 2017-12-19python全栈9期第四天第二节之列表的增删查改之按索引改和按切片改
- [JavaScript]iframe的contentWindow
- web----WSGI
- 修改Unity中Lua文件的默认打开程序
- noip第27课作业
- python 相关模块安装 国内镜像地址