网络安全学习第105天

前言:

挖不到漏洞

正题:

每天一篇漏洞思路,需要学习js逆向了

越权思路,改id值,改返回值,获取高权限的功能点,改加密后的值

总结一点

就是看数据包,哪一些值改了会对服务器或者是客户端造成影响的

哪些参数会对服务器和客户端造成影响的

主要就是修改变量,如就是userid可以改

cookie字段解密可以改,post请求字典可以改,哪里有参数可以改哪里

如果是加密的变量,就需要学习js逆向,如何去寻找

如何去寻找变量值,这才是挖洞该思考的方向,

最简单的就是查找功能点,然后抓包看数据包

看那些之可以改

其次就是看js文件,找变量或则参数值

或则就是说用js学习手机工具,hae,findsomthing插件,然后搜集变量值,然后去替换,然后就是放入intruder去爆破,这些时候可能就是还要去分析,他是否是i凭借成功的,

那这些工具大家都有,那不是大家都能挖到,其实还是要去些一些正则匹配的,然后去匹配

哪些工具也是写好的匹配的

如果自己些工具的话,会撇皮正则就会收集到更多的信息,就能挖到漏洞的几率就更大

内网知识点

antword流量分析

请求字段会有antword等蚁剑的标识,一般是采用base64字段,有混淆的话需要删除前两个字段,然后解密

fastjson不出网如何利用

相关推荐
技术不好的崎鸣同学29 分钟前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
霸道流氓气质35 分钟前
Java 工程师 AI 智能体(Agent)完整学习路线
java·人工智能·学习
Sagittarius_A*1 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
想要入门的程序猿1 小时前
摄影测量学习()
数码相机·学习
worilb1 小时前
Spring Cloud 学习与实践(13):使用 Seata 解决分布式事务问题
分布式·学习·spring cloud
渣渣灰飞1 小时前
MySQL 系统学习 第四阶段:MySQL 高级 第一节:索引(Index)
数据库·学习·mysql
孟郎郎1 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患
iDao技术魔方2 小时前
Node.js v26.5.0 深度解读:import Text、流式 ReadableStreamTee、以及隐藏的安全加固浪潮
安全·node.js
星子yu2 小时前
【学习】怎么学好数据结构
数据结构·学习
~kiss~2 小时前
MoE的痛点:离散路由
学习