安全

0x01 前言 最近打brixelCTF的时候遇到一个编程题 题目要求在一秒钟之内把下面出现的随机字符串复制到输入框并提交,这种题,但凡是个正常人都不会有这样的手速吧。 先看一下html源码,发现随机字符串被包裹在id为rn...

发布 0 条评论

0x01 前言 最近一直忙于API开发,各种判断各种过滤,让人头都大了,恍悟后端并不比前端简单。同时又因为自己对web安全颇有兴趣,自然而然的就会从安全方面审视自己的代码,所以就有了这篇文章。 措施一:token认证 服务器定...

发布 0 条评论

0x01 前言 业务需求与QQ等之类的即时通讯软件类似,同一账号不允许重复登录,限制单个用户多端登录,当一个账号有两个用户登录时,后者可以顶掉前者。 0x02 思路 用户登录时生成一个token,将这个token写入数据库,同时将to...

发布 0 条评论

0x01 前言 记个笔记,是在最近打CTF新人赛的时候遇到的。其实标题感觉取得有点水了,因为用到的知识蛮多的,标题说得太笼统啦。 0x02 md5碰撞 只给出了提示和代码,那就先看代码,get提交一个id参数,parse_str($id)对...

发布 0 条评论

·前言 任意用户密码重置作为逻辑漏洞中的一种,在业务开发中经常被忽视,也正是如此才导致其成因复杂:在新用户注册页面,在密码找回页面等等。今天要分析的案例成因是开发者未同时校验用户旧密码与更新新密码。 ·漏洞复现 ...

发布 2 条评论