微信投票人工投票刷票

   添加微信号:  

   80165877 

   复制红色数字添加微信

对投票系统进行安全测试，看是否存在安全漏洞会影响投票的公平性。
实训目标
1、了解浏览器插件的使用；
2、了解开发程序员对IP地址获取方式；
3、了解网络协议软件的使用，如burpsuite等；

试试能否将ggg票数弄到第一

1.首先浏览网页，对ggg进行投票

当第二次投票的时候显示，投票机会已经用完。

2.此时我们就要用burpsuit进行抓包

3.鼠标右键进行send to repeater到这个模块

然后运行会发现，大体上就是那个投票失败的信息

4.然后再send to instruder到这个模块

此时要用到一个知识 HTTP X-Forwarded-For 

 伪造X-Forwarded-For绕过服务器IP地址过滤  因为每个ip地址只能点赞一次，所以要用各种ip。

例如：X-Forwarded-For:192.168.247.1

Attack type选择自定义模式 Cluster bomb

因为ip要变化，所以要让画颜色的成为变量

5.进行配置 payloads（负载）

payload type 改成Numbers 然后进行攻击
选择number，终止255，步长1，进行爆破，爆破完之后，放包

我就攻击了一小会暂停了...

会发现ggg成为票数第一了！

总结：数据包伪造 利用服务器是通过获取ip方式投票 x-forwarded-for: ip 利用burp爆破，枚举 x-forwarded-for 服务器获取客户端ip方法。而且要知道这个页面是用什么语言写的，得知是PHP后，因为计票一般就是按照IP来区分计数的，所以通过PHP的获取ip代码X-Farwarded-For:ip，然后再使用Start attak，完工