zoukankan      html  css  js  c++  java
  • 无相劫指:Web安全之其他专题—第七天

    无相劫指:Web安全之其他专题—第七天

    主要讲的是暴力破解以及爆破工具Burpsuite的暴力破解的使用

    水平越权和垂直越权

    暴力破解:

    Intruder里面的各种选项的使用

    主要还是Payloads选项

    有payload的生成和选择策略,字典选择。

    还有就是Options里的正则表达式的匹配了Grep-Match

    还有就是攻击类型

    Sniper狙击手模式,Battering ram攻城锤模式,Potchfork草叉模式,Cluster bomb集束炸弹模式 PDF有详解,个人觉得看你个人选择吧

    爆破完成后的结果可以进行筛选,过滤,分析。这个多用几次就理解了

    水平越权

    个人理解就是用户A和用户B两个用户账号是水平的,若A可以攻击B修改资料,越权访问等操作,这就是水平越权漏洞

    PDF里面有案例,好理解的就是抓取test2用户的包进行id的修改成test1的id,从而修改test1的用户资料

     

    垂直越权

    个人理解就是用户越权访问管理员的操作功能,向上越权。管理员越权访问侵犯用户隐私,操作用户,向下越权。

    案例:

     

    总结:从看的部分回放视频和PDF中了解了Burpsuite暴力破解的具体使用操作方法,以及对水平越权和垂直越权的理解。向上越权的垂直越权利用漏洞进行增加和修改管理员账号的操作。

    本次直播时间由于要考试所以不得不复习,今天考完后看回放看到30分钟左右黑屏了….只能通过PDF了解本堂课程的主要大概内容。

  • 相关阅读:
    用mysql+redis实现微博feed架构上需要注意哪些问题
    windows7下安装zend studio5.5
    鼠标移出DIV层时,触发onMouseOut事件
    关于MVVM和RAC的一些拓展阅读
    Swift(上) 常量, 变量, 数据类型, 循环, 选择结构 简单函数
    SDWebImage的使用
    App Store新应用提审攻略
    关于iOS的推送服务的点点
    iOS开发代码规范
    伟大的RAC和MVVM入门(二)
  • 原文地址:https://www.cnblogs.com/cxl862002755/p/13185314.html
Copyright © 2011-2022 走看看