当前位置: 首页 > news >正文

ps怎样做网站设计百度推广代理赚钱

ps怎样做网站设计,百度推广代理赚钱,企业品牌营销策略,企业内部网站制作模板WebSocket走私实践(附赠LiveGBS监控系统未授权管理员密码重置) 对此,我特别感谢TryHackMe和HackTheBox academy,永远相信和追随英国TryHackMe所教导的网络安全知识,并保持学习 WebSocket走私相关的知识在这里 前段时间学习过htt…

WebSocket走私实践(附赠LiveGBS监控系统未授权管理员密码重置)

对此,我特别感谢TryHackMe和HackTheBox academy,永远相信和追随英国TryHackMe所教导的网络安全知识,并保持学习

在这里插入图片描述

WebSocket走私相关的知识在这里

前段时间学习过http1/2走私、websocket走私,所以令我对response status code 101和426有了从未有过的关注

并成功在实战中关注到101和426的http响应,最终找到一处WebSocket走私


此处 WebSocket升级时导致走私的原因是设置了错误的版本,如,
请求头:Sec-WebSocket-Version: 777
再将Content-Length设置为0,即可触发WebSocket走私。

进一步原因是前端没有验证后端WebSocket是否升级成功(code 101),即使升级失败(code 426)前端也依然使用WebSocket处理,而后端仍然使用HTTP,在TryHackMe已经解释的非常清楚

当前端处理完交给后端时,后端会处理Content-Length和Transfer-Encoding标头,我们就可以通过传统HTTP走私伪造http请求头来触发它

在这里插入图片描述

这还是第一次在实战中发现这一切,尽管后面发生了些不愉快的事情,但THM与HTB所教导的知识利用在了现实环境中的感觉依然很棒。


LiveGBS 匿名访问 未授权管理员密码重置缺陷

在这里插入图片描述

开启了匿名访问就可以浏览监控

在这里插入图片描述

但LiveGBS系统的游客访问并不是因为有专门的功能开发,而是关闭了api鉴权功能,所以根据LiveGBS的api文档,我们可以很轻松的利用密码重置api来对管理员账户进行密码重置。

在这里插入图片描述

可以看到重置密码这条日志的操作人是空的

在这里插入图片描述

http://www.zhongyajixie.com/news/5447.html

相关文章:

  • 四川做网站设计的公司网络营销心得体会800字
  • logo设计在线生成 免费武汉企业seo推广
  • 搭建好网站生情好域名后怎么做网址检测
  • 用dw做网站的基本步骤如何优化网页
  • c语言做的网站湖南百度seo排名点击软件
  • 珠海公司网站制作公网络营销主要有哪些特点
  • 湖北建设信息网站免费域名解析
  • axure做的网站可以用吗xp优化大师
  • 西安做网站商城的公司百度产品推广怎么收费
  • 哪种nas可以做网站服务器在线刷关键词网站排名
  • 装修设计公司官网成都网站seo外包
  • 网站开发实现电脑版和手机版的切换快排seo
  • 做百度手机网站点互联网舆情信息
  • 做网站会用到什么语言网站seo快速
  • 有做思维图的网站吗中国疫情最新情况
  • 横沥网站建设公司友情链接平台
  • 党委网站建设实施方案郑州抖音推广
  • 做网站哪里最好投资网站建设方案
  • 广州市住房和城乡建设部网站英文外链代发
  • 哪个公司做网站最好深圳如何发布自己的html网站
  • 南京网站制作公司电话全球搜效果怎么样
  • 长春网站建设于健短网址链接生成
  • 织梦模板修改教程宁波网站关键词优化排名
  • 长沙手机网站设计专注于网站营销服务
  • 商品网页设计图片济南seo优化公司
  • 网站建设需要会什么惠州seo计费管理
  • google网站登录入口竞价代运营公司哪家好
  • 星辰wordpress主题广州seo做得比较好的公司
  • 网站主页和子页怎么做整站优化的公司
  • 网上有做logo的网站吗今日新闻摘抄