微信投票人工投票刷票
添加微信号:
80165877
复制红色数字添加微信
对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。
实训目标
1、了解浏览器插件的使用;
2、了解开发程序员对IP地址获取方式;
3、了解网络协议软件的使用,如burpsuite等;
试试能否将ggg票数弄到第一
1.首先浏览网页,对ggg进行投票
当第二次投票的时候显示,投票机会已经用完。
2.此时我们就要用burpsuit进行抓包
3.鼠标右键进行send to repeater到这个模块
然后运行会发现,大体上就是那个投票失败的信息
4.然后再send to instruder到这个模块
此时要用到一个知识 HTTP X-Forwarded-For
伪造X-Forwarded-For绕过服务器IP地址过滤 因为每个ip地址只能点赞一次,所以要用各种ip。
例如:X-Forwarded-For:192.168.247.1
Attack type选择自定义模式 Cluster bomb
因为ip要变化,所以要让画颜色的成为变量
5.进行配置 payloads(负载)
payload type 改成Numbers 然后进行攻击
选择number,终止255,步长1,进行爆破,爆破完之后,放包
我就攻击了一小会暂停了...
会发现ggg成为票数第一了!
总结:数据包伪造 利用服务器是通过获取ip方式投票 x-forwarded-for: ip 利用burp爆破,枚举 x-forwarded-for 服务器获取客户端ip方法。而且要知道这个页面是用什么语言写的,得知是PHP后,因为计票一般就是按照IP来区分计数的,所以通过PHP的获取ip代码X-Farwarded-For:ip,然后再使用Start attak,完工