当前位置: 首页 > news >正文

DVWA - 4

news 2025/7/24 10:56:14

文章目录

      • JavaScript
        • low
        • medium

JavaScript

前端攻击。token 不能由前端生成,js 很容易被攻击者获取,从而伪造 token。同样其他重要的参数也不能由前端生成。

low
  1. 不修改输入,点击提交报错:
    在这里插入图片描述
  2. 根据提示改成 success,还是报错:
    在这里插入图片描述
  3. 分析源码,发现 token 值是输入值通过 md5 加密:
    在这里插入图片描述4. 查看两次的报文,发现虽然改变了输入,但 token 值一样,并没有改变:
    在这里插入图片描述
    在这里插入图片描述
  4. 在 console 中计算 success 的 md5 值:
    在这里插入图片描述
  5. 修改报文后重发,返回成功:
    在这里插入图片描述
medium
  1. 查看源码,发现这次是引入了一个 js 文件来计算token 值:
    在这里插入图片描述
    分析该 js ,它是将输入的值做了翻转,再在前后加了 “XX”。修改报文,返回成功:
    在这里插入图片描述
http://www.lryc.cn/news/235719.html

相关文章:

  • gRPC之grpc resolver
  • NI Package Manager创建程序包
  • C语言实现排序介绍
  • 64位ATT汇编语言使用bss段.skip指令储存字符,并使用系统调用输出字符
  • 贝锐蒲公英路由器X4C如何远程访问NAS?
  • Golang Context 的使用指南
  • vue3使用西瓜播放器播放flv、hls、mp4视频
  • 【Promise12数据集】Promise12数据集介绍和预处理
  • Qt设置整体背景颜色
  • Stream流常见操作
  • INFINI Labs 产品更新 | 发布 Easysearch Java 客户端,Console 支持 SQL 查询等功能
  • 前端调试只会console.log()?
  • CentOS Linux release 7.9.2009 (Core)中安装配置Tomcat
  • 移动机器人路径规划(四)--- 考虑机器人模型下的运动规划KINODYNAMIC PATHFINDING
  • 服务器数据恢复—VMware虚拟化下误操作导致服务器崩溃的数据恢复案例
  • 微服务实战系列之Gateway
  • GZ038 物联网应用开发赛题第10套
  • 重生之我是一名程序员 35
  • 计算机毕业设计选题推荐-点餐微信小程序/安卓APP-项目实战
  • 分享禁止Win10更新的两种方法
  • SPASS-回归分析
  • 【使用vscode在线web搭建开发环境--code-server搭建】
  • c++ list容器使用详解
  • 【案例】可视化大屏
  • js制作动态表单
  • 解决Kibana初始化失败报错: Unable to connect to Elasticsearch
  • 流媒体服务器
  • Java GUI小程序之图片浏览器
  • Kafka-4.1-工作原理综述
  • Linux八股文