Python安全之繞過隨機Token——使用Brup找出隨機Token
背景: 這是某OA的一個頁面,主要功能是供用戶提交一些需求,頁面有表單和文件上傳接口,在對該頁面進行安全測試的時候,我希望對這些用戶輸入表單進行存儲型XSS的測試,然而由於頁面使用了隨機Token,致使用掃描器進行掃描時發現並不能批量寫入。於是用Burp進行手工測試。 使用Repeater模塊進行重放: 在對數據提交頁面進行重放時,發現不成功。猜測是服務器端對請求數據的某個變量進行了驗證。如圖。
相關文章
- 1. 有token隨機值的注入
- 2. Burp Suite利用宏繞過隨機碼
- 3. 如何繞過 csrf-token?
- 4. 邏輯漏洞-token繞過
- 5. web安全之token
- 6. 隨機過程
- 7. token全局化&&跨線程使用token
- 8. 隨機數安全的事
- 9. linux溢出總結+windows aslr地址隨機化繞過
- 10. python 隨機數
- 更多相關文章...
- • 使用TCP協議掃描主機 - TCP/IP教程
- • 使用UDP協議掃描主機 - TCP/IP教程
- • 漫談MySQL的鎖機制
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 有token隨機值的注入
- 2. Burp Suite利用宏繞過隨機碼
- 3. 如何繞過 csrf-token?
- 4. 邏輯漏洞-token繞過
- 5. web安全之token
- 6. 隨機過程
- 7. token全局化&&跨線程使用token
- 8. 隨機數安全的事
- 9. linux溢出總結+windows aslr地址隨機化繞過
- 10. python 隨機數