测试“热心网友” 的文章漏洞以及网络安全学习自己的经验杂谈

起因,整理之前手机的网安视频,不是乱就是少几课时,有些还看不下去,索性分期在腾讯课堂上购买了web安全工程师体系课程,正好也有老师答疑讲解(课程质量目前感觉一般,学完后再评价)

图片[1]-测试“热心网友” 的文章漏洞以及网络安全学习自己的经验杂谈-FancyPig's blog

学习到了逻辑漏洞的内容,正好看到了粉色猪网站上的一篇文章

于是学完后就想试一试(主要是想窃取“热心网友”的成果 看看是否能不能交一个src的狗头保命),游戏名这位老哥也是可以打码的,只是我很好奇,使用了一系列方法(图片识别+文章中的蛛丝马迹),找到了。

开始抓包并对money参数的修改

图片[2]-测试“热心网友” 的文章漏洞以及网络安全学习自己的经验杂谈-FancyPig's blog

(补充说明:439*游戏在chrome上现在没法正常打开了,不支持flash,自己用的老版的火狐配合burpsuite抓包)

 期间也检查了抓到的其他的包,没看懂。

游戏页面显示的充值2000元没有截图,放一下自己的账单

图片[3]-测试“热心网友” 的文章漏洞以及网络安全学习自己的经验杂谈-FancyPig's blog

总结

他是想用小例子介绍一下web安全的支付漏洞(属于逻辑漏洞的一种),按照我上面的四次测试应该可以说明游戏支付是做了后台检验的。 

补充

逻辑漏洞中还有 url跳转漏洞、任意密码修改漏洞以及任意用户登录漏洞,基础知识点的学习相对实践而言是枯燥无味的,但是为了以后能成为安全工程师,还是应该静下心来学习基础知识。这些装13小技巧一天学一个就够了。

吐槽

如果是科班或者以后就想从事这个行业的,个人不推荐使用汉化版的软件;自己从2020年2月开始关注网络安全,一直到2021年7月底,学习的大部分是社工(个人水平应该能达到平均水平),以及一天一个装13技巧,web安全、渗透测试、CTF等专业知识几乎为零(不过有计算机科班的底子)。因为只会社工这一点,在升学考试期间中,自己提到对网络安全感兴趣,结果被老师诟病:网络安全几乎一无所知,现在看来,确实如此,(推荐一篇文章,老哥进阿里的经验分享https://mp.weixin.qq.com/s/UnBoH_eVJONFT5zaHX2VsQ

© 版权声明
THE END
喜欢就支持一下吧
点赞16
分享
评论 共1条

请登录后发表评论