说正事之前,让我们来做一下这份漏洞试卷:
考生姓名:__________ 考生学号:__________
一、诗歌补写
床前没月光,___________。
春眠不觉晓,___________。
二、数学运算(在括号内填入数字)
500 +400 * 3 / 2 + 1 = ( )
( 1 + 2) / 3 * 400 +500 = ( )
做完试卷,有没有一百分呢?现在我们来分析一下:
首先我们来看这个,试卷的名字和编号填写,这个部分有“漏洞”吗? --答案是有的! 学生的姓名和编号都写在这儿,没有做任何保护措施,因此,你只要偷看了某人的试卷上的这部分内容,然后把你的试卷的上的姓名和考生编码写成和他一样的即可伪装出他的身份。 漏洞攻击成功 !
一、诗歌补写 床前没月光,。 春眠不觉晓,。
这道题有漏洞吗? 有!这道题的答案本来应该是“疑似地上霜”和“处处闻啼鸟” But,问题中,并没有规定答案里不能添加标点符号,所以,我完全可以把“疑是地上霜,举头望明月,低头思故乡”以及“处处闻啼鸟,夜来风雨声,花落知多少”当做答案写进去。 漏洞再次进攻成功!
二、数学运算(在括号内填入数字)
500 +400 * 3 / 2 + 1 = ( )
( 1 + 2) / 3 * 400 +500 = ( )
这个问题有漏洞吗? 有,出题者规定了只能填入数字,但却没有说是什么数字,也没有规定多少位,那么我的答案可以是 中文数字「壹佰壹拾圆」、罗马数字「 MCI 」或「 0000000000001101 」。 漏洞第三次进攻成功!
做完试卷,有没有觉得安全很简单,也很有趣呢~
现在开始讲正事了~ 你是否还在为自己是安全小白,难以入门而发愁? 你是否还在为自己找不到大佬交流技术,难以解决问题而困惑? 你是否还在为找不到靶机进行实战练习而郁郁寡欢? 你是否还在为自己不会使用工具,不会写插件而想从入门到放弃? 现在告诉你: 你的问题都不是问题,二向箔课程帮助你解决一切问题~
Burpsuite 实战 28 讲:教你如何用 burpsuite 挖掘多种基础漏洞,认知几种 burpsuite 的高赞插件,以及如何自己为自己定制插件。每天 10 分钟,28 天,让你深度了解 BurpSuite.
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.