美文网首页中二病也要当白帽子
web安全实际应用?(入门)

web安全实际应用?(入门)

作者: xuing | 来源:发表于2018-11-17 00:08 被阅读0次

学长来给你们讲个web安全在实际生活中的案例。
入门知识,BurpSuite的基础吧。

我最近在网校学日语,不同等级能选不同等级的课程。我现在是这个 L2

,为了防止喜欢老师的课程被选满,我想提前选好L3的课程。(因为我看这个老师的人数是116/120)。

怎么办呢?正片开始,其实就是web渗透入门的抓包改包。

首先我去点击选课按钮,使用BurpSuite查看数据包。

抓包

看到了schedule_id。猜到这个应该就是课程ID。那么是不是我只要将我想选的课程id替换过来就好了呢。

尝试了各种方法,一直没找到想选的课程的id,最后发现其实有个全校课程表的东西。

全部课程

查看源代码,发现似乎这里面并没有存储课程ID(其实是用js进行渲染的,直接看源码不好看)。这个时候呢,比起去仔细阅读源码,更方便的是读响应中的数据。拦截查询课程的请求。


Repeater

选择发送到Repeater。
点击go按钮,可以看到响应了,发现返回了json数据。


json数据

其中果然是有id的。将id进行替换。重新发包。
页面弹出了一个确认窗口,点击确定后,发现竟然不对..证明点击确定按钮后,id是通过页面js重新取的,需要把这个链接的id数据也进行更换。结果我当时候已经没去拦截了。(我这个时候已经把burp的拦截关掉了。实际上,点击按钮后有个ajax请求,对这个ajax请求,进行改包也会是同样的效果。)

突然想到,不是还有个


step域吗,直接改成1试试。 (改这里是我猜的,step英文是步骤嘛,既然0会弹出确认窗口,那我改成1呢)
ok了,没有确定窗口了。
成功选到想要的课程了

后记:
我最后发现116/120.代表的是还剩116个空位,MMP,也就是说我根本没必要这么麻烦,安安心心的复习,通过测验再选也是游刃有余的。想了想总得有点价值,就有了这篇文章了。

相关文章

  • web安全实际应用?(入门)

    学长来给你们讲个web安全在实际生活中的案例。入门知识,BurpSuite的基础吧。 ,为了防止喜欢老师的课程被选...

  • JSON Web Token 的理解,以及在 PHP 中的使用

    阮一峰-JSON Web Token 入门教程 JSON Web Token - 在Web应用间安全地传递信息 八...

  • Web 安全入门之常见攻击

    Web 安全入门之常见攻击 搞 Web 开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该...

  • web安全

    1、初步认识web安全:` - 安全与安全圈 - web应用与web安全的发展 - web安全隐患与本质...

  • Liquid模板语言构建Web页面-学习速查笔记

    基础知识 入门 Liquid是安全、面向客户的模板语言,用于构建灵活的 web 应用。由 Shopify 创造并用...

  • unit5 K近邻算法

    《web安全之机器学习入门》第五章:K近邻算法提供了三种web攻击的识别应用。以下均使用KNN算法解决。 一、异常...

  • web安全(web应用安全)

    摘自极客学院 甲方和乙方: 甲方:腾讯阿里等,需要安全服务的公司 乙方:提供安全服务、产品而服务型安全公司(绿盟、...

  • 10项最严重的 Web 应用程序安全风险

    OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险 关于OWASP “开源Web应用安全...

  • 信息安全资料整合

    Web安全 推荐文章: 给表弟的Web安全入门建议 https://sosly.me/index.php/2017...

  • 慕课视频

    免费 《Web安全-XSS》《ReactNative基础与入门》《React入门》《在React中使用Redux数...

网友评论

    本文标题:web安全实际应用?(入门)

    本文链接:https://www.haomeiwen.com/subject/boovfqtx.html