绕过类安全问题分析方法

news2024/11/28 7:41:08

什么是绕过

逻辑漏洞是指程序设计中逻辑不严密,使攻击者能篡改、绕过或中断程序,令其偏离开发人员预期的执行。
在这里插入图片描述

常见表现形式

1、接口(功能类)绕过:即接口或功能中通过某参数,绕过程序校验
2、流程类绕过:通过修改程序参数的形式绕过某验证步骤,其本质还是功能类绕过

绕过问题的本质

本质为后端在设计关键检测函数逻辑不严密,没有对所有应该进行检验的信息进行有效校验。

不要相信任何前端校验,因为整个前端校验都是攻击者可以轻易操控的

测试形式

1、白盒测试、即通过审计对应代码的方式判断是否存在问题
2、灰盒测试、接通过接口与设计文档,逆向思考开发的可能的实现方式并通过接口测试的方式进行反复尝试

常用工具Burp Suite介绍

Burp Suite是PortSwigger公司开发的集成化渗透测试工具,可自动化或手动完成Web应用的安全测试。它拦截HTTP和HTTPS流量,以中间人方式处理客户端和服务端数据,实现安全评估。Burp Suite具有跨平台性,并提供免费版下载。

工具原理

在这里插入图片描述
作为浏览器与服务端的中间人,可以随意篡改
社区版获取方式
在这里插入图片描述

拦截并修改请求

用法:
1、用于观察请求参数
2、修改参数观察返回
3、发送打其他控制器
在这里插入图片描述

1、进入【proxy】页签;
2、打开工具预置Chromium浏览器(使用预置浏览器可以免去手工配置代理的步骤)。
3、开启拦截【Intercept on】。
![[Pasted image 20231031094140.png]]

1、修改对应参数
2、放行给后端

拦截并修改返回

用法:
1、用于观察响应参数
2、修改响应参数绕过前端限制

![[Pasted image 20231031095131.png]]

1、调整字体的字符集
![[Pasted image 20231031095240.png]]

2、开启响应拦截
![[Pasted image 20231031095401.png]]

修改请求并放行

重放请求

用法:
1、用于针对一个请求进行反复测试

![[Pasted image 20231031100828.png]]

发送给Repeater(可以使用快捷键Ctrl+R)
![[Pasted image 20231031101004.png]]

修改参数并重新发送

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1218644.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

c++虚函数纯虚函数详解加代码解释

c虚函数纯虚函数详解加代码解释 一.概念:二.虚函数示例及解析:三.纯虚函数示例及解析:四.验证和实际使用及解析:1.子类没有对父类的函数重载,mian()函数调用,是直接返回父类的值2.子类对父类的函数重载&…

一键清除磁盘垃圾工具分享,绿色快速好用

下载:https://download.csdn.net/download/weixin_43097956/88541564

2023年中国机动车拍卖网络化趋势加速,网络拍卖专场数量大幅上升至47489场[图]

2022年,由于机动车拍卖网络化趋势继续加速,网络拍卖专场数量大幅上升,全国机动车专场拍卖会高达59450场,较上年攀升125.31%。在389家拍卖企业中,举办场次超过100场的企业有27家,合计54850场,占比…

2023年中国骨质疏松治疗仪发展趋势分析:小型且智能将成为产品优化方向[图]

骨质疏松治疗仪利用磁场镇静止痛、消肿消炎的治疗作用迅速缓解患者腰背疼痛等骨质疏松临床症状。同时利用磁场的磁-电效应产生的感生电势和感生电流,改善骨的代谢和骨重建,通过抑制破骨细胞、促进成骨细胞的活性来阻止骨量丢失、提高骨密度。 骨质疏松治…

有能一键批量转换,轻松将PDF、图片转为Word/Excel的软件吗?

随着数字化时代的到来,OCR技术在我们的生活中变得越来越重要。无论是从图片中提取文字,还是将PDF、图片格式的文件转换为Word或Excel格式,OCR软件都能够为我们提供极大的便利。然而,市面上的OCR软件种类繁多,哪一款软件…

蓝桥杯第三周算法竞赛D题E题

发现更多计算机知识,欢迎访问Cr不是铬的个人网站 D迷宫逃脱 拿到题目一眼应该就能看出是可以用动态规划来解决。但是怎么定义dp呢? 这个题增加难度的点就在当所在位置与下一个要去的位置互质的时候,会消耗一把钥匙。当没有钥匙的时候就不能移动了。想…

802.11ax-2021协议学习__$27-HE-PHY__$27.5-Parameters-for-HE-MCSs

802.11ax-2021协议学习__$27-HE-PHY__$27.5-Parameters-for-HE-MCSs 27.3.7 Modulation and coding scheme (HE-MCSs)27.3.8 HE-SIG-B modulation and coding schemes (HE-SIG-B-MCSs)27.5 Parameters for HE-MCSs27.5.1 General27.5.2 HE-MCSs for 26-tone RU27.5.3 HE-MCSs f…

AE (1)_软件、硬件、驱动控制

#灵感# AE是个值得推敲再推敲的模块,有意思。 目录 相关的硬件-光圈: 相关的软件-曝光-ISO: ISP中的sensor AE 组成: sensor AE的流程及控制: 相关的硬件-光圈: 光圈(F-Number&#xff0…

Equifax案例分析与合规性场景实践

在当今数字化时代,数据安全已经成为各个组织和企业亟待解决的问题。尤其是在数据泄露事件不断增多的背景下,保护敏感数据免受非法访问和泄露变得尤为紧迫。为了应对这一挑战,许多组织和企业开始利用密钥管理服务(KMS)来加强其数据安全性&…

KVM网络环境下vlan和trunk的理解

vmware exsi 平台,虚拟交换机管理界面的上行链路是什么意思 VMware ESXi中的虚拟交换机管理界面中的“上行链路”(uplinks)是指虚拟交换机连接到物理网络的物理网络适配器。在ESXi中,虚拟交换机(vSwitch)用…

Ubuntu18.04安装ROS系统+turtle测试

安装 1.设置安装源 sudo sh -c echo "deb http://packages.ros.org/ros/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/ros-latest.list sudo sh -c . /etc/lsb-release && echo "deb http://mirrors.tuna.tsinghua.edu.cn/ros/ubun…

4.1 Windows驱动开发:内核中进程与句柄互转

在内核开发中,经常需要进行进程和句柄之间的互相转换。进程通常由一个唯一的进程标识符(PID)来标识,而句柄是指对内核对象的引用。在Windows内核中,EProcess结构表示一个进程,而HANDLE是一个句柄。 为了实…

不允许你还不了解指针的那些事(二)(从入门到精通看这一篇就够了)(数组传参的本质+冒泡排序+数组指针+指针数组)

目录 数组名的理解 使用指针访问数组 一维数组传参的本质 冒泡排序 二级指针 指针数组 指针数组模拟二维数组 字符指针变量 数组指针变量 二维数组传参的本质 函数指针变量 函数指针变量的创建 函数指针变量的使用 两段有趣的代码 代码一 代码二 typedef关键字 函数指针数组 …

Saas+AI?这可能是2023年最精华的6篇文章

‍ 原文太长(6篇总计40200字),我提炼出核心要点,并打散重组,最后总计仅4500字,不仅是节省了大家时间,还能带来更多不一样的视角解读。 文章一、「AI与SaaS结合的三部曲」 (引自8月25…

计及源荷不确定性的综合能源生产单元运行调度与容量配置随机优化模型MATLAB

主要内容 本程序复现《计及源荷不确定性的综合能源生产单元运行调度与容量配置两阶段随机优化》模型,采用全年光伏、风电数据通过kmeans聚类得到6种场景,构建了随机优化模型,在研究融合P2G与CCS的IEPU系统框架基础上,建立了各关键…

JWT登录认证(3拦截器)

Jwt登录认证(拦截器): 使用拦截器统一验证令牌 登录和注册接口需要放行 interceptors.LoginInterceptor:(注册一个拦截器) package com.lin.springboot01.interceptors;import com.lin.springboot01.pojo.…

设计模式-中介者模式-笔记

Medicator中介者模式 动机(Motivation) 在软件构建过程中,经常会出现多个对象相互关联交际的情况,对象之间常常会维持一种复杂的引用关系,如果遇到一些需求的更改,这种直接的引用关系将面临不断的变化。 …

电脑监控软,电脑屏幕监控软件

电脑监控软,电脑屏幕监控软件 电脑屏幕监控软件不仅仅是一种工具,更是一种守护。随着互联网的发展,我们工作越来越离不开电脑,但同时,也面临着更多的安全隐患。为了保护个人隐私,提高工作效率,…

Java基础笔记

1.数据类型在java语言中包括两种: 第一种:基本数据类型 基本数据类型又可以划分为4大类8小种: 第一类:整数型 byte , short,int, long(没有小数的) 第二类:浮点型 float,aouble(带有小数的) 第三类:布尔型 boole…

wpf devexpress在未束缚模式中生成Tree

TreeListControl 可以在未束缚模式中没有数据源时操作,这个教程示范如何在没有数据源时创建tree 在XAML生成tree 创建ProjectObject类实现数据对象显示在TreeListControl: public class ProjectObject {public string Name { get; set; }public string Executor {…