国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<dd id="f83oo"><form id="f83oo"></form></dd>

<th id="f83oo"></th>

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯

2年前作者：yiqiqukanhaiba分類：Toy博客閱讀(27)違法舉報

這篇具有很好參考價值的文章主要介紹了小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

#ASPX知識點：

1、.NET 配置調(diào)試-信息泄露

2、.NET 源碼反編譯-DLL 反編譯

3、.NET 常見安全問題-未授權(quán)訪問

.NET:大部分都是通性漏洞；與java語言類似；本身被封裝后，需要通過反編譯獲取之前的信息；大部分都是在windows上進行；#c是針對.net開發(fā)的，.net是一個開發(fā)框架；

常見組合

Windows+iis+aspx+sql

Windows+iis+asp+sql

由此可得asp和aspx都會收到iis的影響

.NET 項目-DLL 文件反編譯指向-代碼特性

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

.dll文件：java封裝后的文件，可以實現(xiàn)代碼調(diào)用

利用ILSpy工具進行對.dll文件反編譯

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

而.asp文件會進行調(diào)用.dll文件

2、.NET 項目-Web.config 錯誤調(diào)試-信息泄露

比較關(guān)鍵的Web.config文件：

??對其mode進行修改，查看網(wǎng)頁變化

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

a.Mode值為Off

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

在url輸入錯誤的數(shù)值。即在報錯頁面中，會出現(xiàn)ASP的版本號，文件目錄等信息

b.當mode值為On

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

報錯頁面顯示是自定義的，不會暴露信息，除非是自定義暴露。

3、.NET 項目-身份驗證未授權(quán)訪問-安全漏洞

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

未授權(quán)訪問

判斷用戶身份：

a.由于后臺本身有多個功能文件頁面

在每個文件里面添加判斷身份代碼
創(chuàng)建一個文件專門來進行判斷操作，并被其他文件包含調(diào)用

b.找未授權(quán)訪問：

找那些文件沒有包含驗證代碼文件
驗證代碼文件有沒有可以繞過（Cookie&Session）

第一種方式：

由第二種方式得，參與驗證的文件是purchase.Master所以只需找到無此文件的文件即可

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

同目錄下無需驗證，所以可直接訪問

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

第二種方式：

通過雙開頁面，一個頁面退出登錄，另一個頁面也會退出用戶頁面

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

對其文件pd.aspx進行觀察

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

通過觀察發(fā)現(xiàn)并沒有存在驗證代碼，所以驗證代碼應(yīng)為調(diào)用代碼，

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

通過反編譯工具打開

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

發(fā)現(xiàn)并不是驗證代碼，所以找另一個purchase.Master

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

根據(jù)代碼查看是否能進行繞過

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全

得知，代碼中接收Cookie值參數(shù)值為userinfo，成功繞過

小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯,安全文章來源地址http://www.zghlxwxcb.cn/news/detail-812103.html

到了這里，關(guān)于小迪安全19WEB 攻防-.NET 項目&DLL 反編譯&未授權(quán)訪問&配置調(diào)試報錯的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

WEB攻防-Java安全&JWT攻防&Swagger自動化&算法&簽名&密匙&Druid未授權(quán)
知識點： 1、Java安全-Druid監(jiān)控-未授權(quán)訪問信息泄漏 2、Java安全-Swagger接口-文檔導(dǎo)入聯(lián)動批量測試 2、Java安全-JWT令牌攻防-空算法未簽名密匙提取參考：https://developer.aliyun.com/article/1260382 Druid是阿里巴巴數(shù)據(jù)庫事業(yè)部出品，為監(jiān)控而生的數(shù)據(jù)庫連接池。Druid提供的監(jiān)控功能，監(jiān)
2024年02月04日
瀏覽(29)
Web 攻防之業(yè)務(wù)安全：接口未授權(quán)訪問/調(diào)用測試（敏感信息泄露）
業(yè)務(wù)安全是指保護業(yè)務(wù)系統(tǒng)免受安全威脅的措施或手段。廣義的業(yè)務(wù)安全應(yīng)包括業(yè)務(wù)運行的軟硬件平臺（操作系統(tǒng)、數(shù)據(jù)庫，中間件等）、業(yè)務(wù)系統(tǒng)自身（軟件或設(shè)備）、業(yè)務(wù)所提供的服務(wù)安全；狹義的業(yè)務(wù)安全指業(yè)務(wù)系統(tǒng)自有的軟件與服務(wù)的安全。目錄：驗證碼
2023年04月12日
瀏覽(31)
小迪安全第56天服務(wù)攻防-數(shù)據(jù)庫安全&H2&Elasticsearch&CouchDB&Influxdb 復(fù)現(xiàn)
1.端口掃描 2.報錯回顯時序數(shù)據(jù)庫是近幾年一個新的概念，與傳統(tǒng)的Mysql關(guān)系型數(shù)據(jù)庫相比，它的最大的特點是：數(shù)據(jù)按照時間順序存儲。舉例來說，日志數(shù)據(jù)，是以時間順序存儲的，所以用時序數(shù)據(jù)庫存儲是一種很好的選擇。使用Mysql在存儲的過程中，不是對這種基于時間
2024年02月03日
瀏覽(20)
小迪安全第59天服務(wù)攻防-中間件安全&CVE 復(fù)現(xiàn)&IIS&Apache&Tomcat&Nginx
IIS現(xiàn)在用的也少了，漏洞也基本沒啥用 ?沒有和權(quán)限掛鉤 windows 2003上面的漏洞配置不當：該漏洞與 Nginx、php 版本無關(guān)，屬于用戶配置不當造成的解析漏洞。這個跟文件上傳類似，找到文件上傳點，上傳png圖片找到上傳路徑和nginx版本號查看路徑添加后綴可以用php執(zhí)行png
2024年02月04日
瀏覽(26)
【小迪安全】Day03基礎(chǔ)入門-抓包&封包&協(xié)議&APP&小程序&PC應(yīng)用&WEB應(yīng)用
有些應(yīng)用是看不到的手機app、微信小程序、PC應(yīng)用 Windows、Linux 2.1.1抓包封包工具 Fiddler：是一個 http 協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的 http 通訊，設(shè)置斷點，查看所有的“進出”Fiddler 的數(shù)據(jù)（指 cookie,html,js,css 等文件）。 Fiddler 要比其他的
2024年02月03日
瀏覽(39)
小迪安全第15天：php開發(fā)-個人博客項目&登錄驗證&cookie&session&驗證碼安全
1.后臺驗證-登錄用戶邏輯安全-怎么去判定用戶登陸成功 2.后臺驗證-COOKIESESSION 3.后臺驗證-驗證碼·萬能密碼等思路： 1.發(fā)送登錄請求賬號密碼 2.接收賬號密碼 3.判斷賬號密碼的準確性正確成功登陸-跳轉(zhuǎn)成功頁面錯誤失敗登錄-重新登陸后臺管理系統(tǒng)有多個文件頁面，為了
2024年04月15日
瀏覽(18)
第55天：服務(wù)攻防-數(shù)據(jù)庫安全&Redis&Hadoop&Mysql&未授權(quán)訪問&RCE
思維導(dǎo)圖：常見服務(wù)的安全測試：服務(wù)安全流程：案例一：Mysql-未授權(quán)訪問-CVE-2012-2122 利用案例二： Hadoop-未授權(quán)訪問-內(nèi)置配合命令執(zhí)行 RCE 案例三：Redis-未授權(quán)訪問-Webshell任務(wù)密匙RCE 等寫入webshell ?寫入計劃任務(wù)反彈shell ssh密鑰鏈接 ?編輯利用自動化腳本去getshell redi
2024年04月27日
瀏覽(25)
服務(wù)攻防-數(shù)據(jù)庫安全-服務(wù)應(yīng)用的安全問題以及測試流程-Mysql&Hadoop&未授權(quán)訪問&RCE-漏洞復(fù)現(xiàn)
目錄一、服務(wù)應(yīng)用的安全問題 1、配置不當——未授權(quán)訪問 2、安全機制——特定安全漏洞 3、安全機制——弱口令爆破攻擊二、服務(wù)應(yīng)用的安全測試思路 1、判斷服務(wù)是否開放 2、判斷服務(wù)類型 3、判斷利用方式三、Mysql-未授權(quán)訪問-CVE-2012-2122 利用 1、漏洞概述 2、漏洞復(fù)現(xiàn)
2024年02月17日
瀏覽(30)
網(wǎng)絡(luò)安全全棧培訓(xùn)筆記（55-服務(wù)攻防-數(shù)據(jù)庫安全&Redis&Hadoop&Mysqla&未授權(quán)訪問&RCE）
知識點： 1、服務(wù)攻防數(shù)據(jù)庫類型安全 2、RedisHadoopMysql安全 3、Mysql-CVE-2012-2122漏洞 4、Hadoop-配置不當未授權(quán)三重奏RCE漏洞 3、Redis-配置不當未授權(quán)三重奏RCE兩漏洞 #章節(jié)內(nèi)容：常見服務(wù)應(yīng)用的安全測試： 1、配置不當-未授權(quán)訪問 2、安全機制特定安全漏洞 3、安全機制弱口令爆
2024年01月23日
瀏覽(30)
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授權(quán)訪問&容器執(zhí)行
Kubernetes是一個開源的，用于編排云平臺中多個主機上的容器化的應(yīng)用，目標是讓部署容器化的應(yīng)用能簡單并且高效的使用, 提供了應(yīng)用部署，規(guī)劃，更新，維護的一種機制。其核心的特點就是能夠自主的管理容器來保證云平臺中的容器按照用戶的期望狀態(tài)運行著，管理員可
2024年02月08日
瀏覽(31)