Burp插件之BurpSuitFake
在最近的测试中发现一个问题某些高校在在登陆教务平台登陆的时候没有设置验证码而且重点是 他写的很清楚 密码是身份证后六位以下是我的一些思路和过程中解决的办法part1信息搜集学生的学号是很有规律的 例如我的学号 就是入学年份+专业代码+班级+学号每个大学学号规则不一样 但是你可以查询一些学号相关的信息 然后找出规律密码就是单纯的利用字典去爆破,就是去爆破那些没有修改密码的同学,比如默认身份证后六
一次很水的测试
学习安全一个月 总是想做点什么 做点什么呢?某个卖摄像头的网站,年久失修页面大概这样 好家伙 五年前的网站了 (这是最新的更新的一篇)发现我的数据被执行了and 1=1没有报错 and 1=2报错了!开始猜测字段数order by …..发现有26个字段 这么顺利吗?继续判断显错点好家伙 报错了 他报错了是不是没有显错点 那是盲注吗?大于1都报错那肯定不是盲注
1