介绍
- 首先给出官网。
Scapy
是用Python
编写的交互式数据包处理工具。
- 使用
Scapy
可以伪造或解码各种协议的数据包,在线发送它们,捕获它们,匹配请求和答复等等。
漏洞介绍
- 跨站请求伪造,也被称为
one-click attack
或者session riding
,通常缩写为 CSRF
或者 XSRF
。
- 是一种挟制用户在当前已登录的
Web
应用程序上执行非本意的操作的攻击方法。
- 跟跨网站脚本相比,
XSS
利用的是用户对指定网站的信任,CSRF
利用的是网站对用户网页浏览器的信任。
- 通俗的可以理解为:攻击者盗用你的身份,利用网站对你的信任发起恶意请求。
漏洞介绍
CAPTCHA
项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。
- 使用
CAPTCHA
可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。
- 攻击者绕过
CAPTCHA
验证后,可以使用恶意脚本操控计算机反复发送请求或者在异地实现绕过验证的CSRF
攻击。
漏洞原理
- 当用户第一次访问服务程序时,服务器端会给用户创建一个独立的会话
Session
并且生成一个SessionID
。
SessionID
在响应浏览器的时候会被加载到cookie
中,并保存到浏览器中。
- 当用户再一次访问服务程序时,请求中会携带着
cookie
中的SessionID
去访问服务器。
- 服务器会根据这个
SessionID
去查看是否有对应的Session
对象,有则使用,没有就新创建一个Session
。
漏洞介绍
定义
XSS
本名Cross-Site Scripting
跨站脚本,是攻击者将恶意JavaScript
脚本植入服务器而形成对访问者的攻击。