av手机免费在线观看,国产女人在线视频,国产xxxx免费,捆绑调教一二三区,97影院最新理论片,色之久久综合,国产精品日韩欧美一区二区三区

網(wǎng)絡(luò)技術(shù)

漏洞和自動(dòng)化腳本的區(qū)別

時(shí)間:2025-03-21 00:47:30 網(wǎng)絡(luò)技術(shù) 我要投稿
  • 相關(guān)推薦

漏洞和自動(dòng)化腳本的區(qū)別

  漏洞無處不在,它是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng),以下是小編為大家搜索整理的漏洞和自動(dòng)化腳本的區(qū)別,希望能給大家?guī)韼椭?更多精彩內(nèi)容請及時(shí)關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

  什么是漏洞?

  漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。

  摘取其中的三個(gè)關(guān)鍵點(diǎn):

  1、系統(tǒng)缺陷

  2、能被未授權(quán)利用

  3、利用后能達(dá)到某種目的或效果

  我們來舉幾個(gè)利用漏洞買月餅的思路(漏洞實(shí)例與截圖均來自于互聯(lián)網(wǎng)):

  1、篡改金額

  實(shí)例:某平臺訂單支付時(shí)的總價(jià)未驗(yàn)證漏洞(支付邏輯漏洞)

  很多系統(tǒng)在設(shè)計(jì)的時(shí)候,未對商品的價(jià)格進(jìn)行校驗(yàn)。導(dǎo)致你提交的購買的http包內(nèi)說這個(gè)商品價(jià)格多少錢,系統(tǒng)就會(huì)認(rèn)為這個(gè)商品多少錢。從而造成漏洞。

  比如說,你在某個(gè)平臺購買了一個(gè)商品,價(jià)值21元,然后點(diǎn)擊確認(rèn),會(huì)跳轉(zhuǎn)到第三方平臺進(jìn)行支付。

  在這個(gè)跳轉(zhuǎn)的過程中,截獲http包,在數(shù)據(jù)包中找尋代表金額價(jià)格的參數(shù)字段,修改參數(shù)值,比如改為1。

  如果系統(tǒng)未做校驗(yàn),那么最終支付的價(jià)格就是1,也就是你可以花一塊錢,買到21塊甚至更高價(jià)格的商品。最終支付的價(jià)格你也可以改成0,甚至改成負(fù)數(shù),有的系統(tǒng)做的不好,在用系統(tǒng)幣購買東西的時(shí)候?qū)⒔痤~改成負(fù)數(shù),反而會(huì)造成你賬號內(nèi)的余額增加的情況。

  2、篡改商品編號

  實(shí)例:某積分商城支付漏洞再繞過

  比如說現(xiàn)在商城有好多種商品,有的隨便什么人都可以買,有的需要注冊會(huì)員可以買,那么這種情況下,如果系統(tǒng)權(quán)限校驗(yàn)的不好,那么我就可以通過在商城中買low點(diǎn)的商品,然后截獲網(wǎng)絡(luò)包,在網(wǎng)絡(luò)包中更改商品類型,把low的商品改成高級的商品,從而繞過普通人不能購買高級商品的限制。

  在商城中看中了一個(gè)高級的鼠標(biāo),但是需要30積分

  積分不夠,無法購買,先買一個(gè)低積分的商品,然后修改商品id,換成鼠標(biāo)的id

  購買成功。

  3、業(yè)務(wù)亂序,繞過支付步驟

  實(shí)例:某分站邏輯錯(cuò)誤可繞過支付直接獲得取票密碼

  比如說,一次正確的購買步驟包括:

  1、提供相關(guān)信息,包括賬號,商品

  2、進(jìn)行支付

  3、支付成功,返回交易憑證。

  如果業(yè)務(wù)邏輯處理的不好,第三步返回交易憑證的時(shí)候,系統(tǒng)沒有對支付是否成功進(jìn)行校驗(yàn),那么就可以構(gòu)造數(shù)據(jù)包,直接跳過支付過程,獲取交易的憑證。

  在系統(tǒng)上購買了兩張電影票

  截包,修改字段,跳過支付步驟

  直接跳回到取票頁面

  凡是利用支付漏洞或者業(yè)務(wù)邏輯漏洞來獲利的情形,必然都會(huì)滿足系統(tǒng)本身存在缺陷,利用過程存在未授權(quán)情況,利用者通過使用缺陷獲利或達(dá)到目的這三個(gè)特征。

  那么什么是自動(dòng)化腳本呢?

  自動(dòng)化腳本,就是通過編寫代碼,將本來需要認(rèn)為進(jìn)行的重復(fù)操作,通過代碼來自動(dòng)進(jìn)行。它在很多情況下,是不涉及系統(tǒng)缺陷的利用的,只是將人需要進(jìn)行的手工操作,通過機(jī)器來進(jìn)行了自動(dòng)化而已,是程序猿提高日常工作效率的一種常見手段。

  比如:

  老板讓我給他一個(gè)從0計(jì)數(shù)到1000的文件,我當(dāng)然不可能1,2,3…一個(gè)數(shù)字一個(gè)數(shù)字打進(jìn)去,那得打到什么時(shí)候啊,我肯定用程序循環(huán)遞增然后把結(jié)果寫入文件。

  with open('result.txt','wb')as f: for i in range(1,1001): f.write(str(i)+'\n')

  這就可以稱得上是自動(dòng)化腳本了!涉及漏洞嗎?不涉及!涉及系統(tǒng)缺陷嗎?不涉及!他只是程序猿通過編碼,讓機(jī)器代替人手動(dòng)的重復(fù)工作而已!

  再比如,我想每天盡早的看到了輪子哥今天帶逛了什么內(nèi)容,我當(dāng)然不可能時(shí)時(shí)刻刻的去刷輪子哥的timeline對不對?那我可以寫個(gè)代碼啊,每10分鐘去抓一次輪子哥主頁的內(nèi)容,看看有沒有更新,如果有,看看更新里有沒有圖片,如果有圖片,把圖片存下來,并且給我發(fā)送提醒。(下個(gè)月有空了真可以考慮開發(fā)一個(gè)。。)

  這叫自動(dòng)化腳本!它的本質(zhì)是通過代碼讓機(jī)器代替人工!

  科普完了,說點(diǎn)感想,以下感想均為個(gè)人看法,不代表團(tuán)隊(duì)觀點(diǎn),請勿曲解。

  我覺得,現(xiàn)在大眾的眼中,安全人員被妖魔化了,一看到安全人員就會(huì)覺得渾身緊張,仿佛安全人員動(dòng)不動(dòng)就能盜刷你銀行卡,看你微信,霸你房產(chǎn),搶你老婆。所以啊,恨不得你們這群人都被栓的死死的才好,這樣我才能人財(cái)“安全”。

  那么為什么會(huì)出現(xiàn)這種偏見呢,還是安全常識及相關(guān)知識普及的不夠。因?yàn)椴欢,所以神秘,因(yàn)椴欢钥謶帧?/p>

  我覺得安全從業(yè)者們可以通過不同的平臺,對大眾進(jìn)行一些深入淺出的安全科普,提高大眾的安全意識和認(rèn)知,增進(jìn)普通人對信息安全的了解。

【漏洞和自動(dòng)化腳本的區(qū)別】相關(guān)文章:

CSS和JavaScript腳本實(shí)例10-26

NFV自動(dòng)化和NFV編排有哪些區(qū)別10-26

PHP的漏洞-如何防止PHP漏洞09-05

解決關(guān)鍵SSL安全問題和漏洞方法11-09

typede和define區(qū)別07-03

related和relevant的區(qū)別08-28

related和relevant的區(qū)別07-22

java和js的區(qū)別08-05

網(wǎng)關(guān)和路由的區(qū)別08-16