投票系统程序设计缺陷分析
背景介绍
年终了,公司组织了各单位"文明窗口"评选网上投票通知。
安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。
实训目标
1、了解浏览器插件的使用;
2、了解开发程序员对IP地址获取方式;
3、了解网络协议软件的使用,如burpsuite等;
解题方向
根据页面提示,进行投票页面测试。
解题思路
打开靶场,进入投票,发现限制ip,每个ip只能投票一次。
暴力破解ip限制
原理几乎与前面提到的相同 我就直接上关键截图啦
一定要自己动手!!!!!!!!!!!!!!!
IP地址伪造(第1题)
背景介绍
某系统授权后,安全工程师"墨者"按照常规流程进行黑盒测试,系统的业主单位也未提供登录口令。
实训目标
1、了解常见的系统弱口令;
2、了解服务器获取客户端IP的方式;
3、掌握浏览器插件的使用;
4、了解什么是环回地址;
解题方向
通过伪造主机IP地址,结合弱口令,进行登录。
解题思路
打开靶场
题目说利用弱口令尝试登陆 试一下admin+admin
登陆时提示 只允许在服务器上登陆,则需要伪装ip地址。
利用burp截取发送登陆请求的包,send to repeater 。
伪造ip地址,x-forwarded-for:127.0.0.1,下面空一行。
go发送包,得到key
go一下就好啦