Asp.net HTTP攻击post参数
我的部门有一个外部部门,在上线测试漏洞之前对我们的网站进行扫描。返回了一个有关错误显示方式的漏洞。据我所知,我已经解决了这个问题 我想在让他们再次扫描之前复制他们的测试,因为从我提交扫描到执行/分析/发送回我都有多日的延迟。以下是他们进行的测试:Asp.net HTTP攻击post参数,asp.net,http,post,get,Asp.net,Http,Post,Get,我的部门有一个外部部门,在上线测试漏洞之前对我们的网站进行扫描。返回了一个有关错误显示方式的漏洞。据我所知,我已经解决了这个问题 我想在让他们再次扫描之前复制他们的测试,因为从我提交扫描到执行/分析/发送回我都有多日的延迟。以下是他们进行的测试: 1. Navigate to preset starting location for analysis URL: <mysite> 2. Submit form using the following URL and f
1. Navigate to preset starting location for analysis
URL: <mysite>
2. Submit form using the following URL and form values
URL: <mysite>
Form Values:
__EVENTTARGET =
__EVENTARGUMENT =
__VIEWSTATE = <viewstate_stuff>
__VIEWSTATEGENERATOR = <viewstate_stuff>
__EVENTVALIDATION = <eventvalidation stuff>
ctl00%24MainContent%24loginBox%24UserName = foo
ctl00%24MainContent%24loginBox%24Password = foo
ctl00%24MainContent%24loginBox%24RememberMe = on
ctl00%24MainContent%24loginBox%24LoginButton = Log%20In
3. Attack discovered GET URL
URL: <mysite>
Post Parameters Attacked:
__EVENTTARGET =
__EVENTARGUMENT =
__VIEWSTATE = <viewstate_stuff>
__VIEWSTATEGENERATOR = <viewstate_stuff>
__EVENTVALIDATION = <eventvalidation stuff>
ctl00%24MainContent%24loginBox%24UserName = foo
ctl00%24MainContent%24loginBox%24Password = foo
ctl00%24MainContent%24loginBox%24RememberMe = on
ctl00%24MainContent%24loginBox%24LoginButton = web.config
1。导航到预设的开始位置进行分析
网址:
2.使用以下URL和表单值提交表单
网址:
表单值:
\u\u事件目标=
\u\u事件参数=
\u\u视图状态=
\u\u VIEWSTATEGENERATOR=
\u\u事件验证=
ctl00%24MainContent%24loginBox%24UserName=foo
ctl00%24MainContent%24loginBox%24Password=foo
ctl00%24MainContent%24loginBox%24RememberMe=on
ctl00%24MainContent%24loginBox%24LoginButton=Log%20In
3.发现攻击获取URL
网址:
攻击后参数:
\u\u事件目标=
\u\u事件参数=
\u\u视图状态=
\u\u VIEWSTATEGENERATOR=
\u\u事件验证=
ctl00%24MainContent%24loginBox%24UserName=foo
ctl00%24MainContent%24loginBox%24Password=foo
ctl00%24MainContent%24loginBox%24RememberMe=on
ctl00%24MainContent%24loginBox%24LoginButton=web.config
我怎么做这样的事?我觉得我应该已经知道了。如果你能发布更多关于你的需求的信息,那会很有帮助。您只是在尝试向端点发送一系列请求吗?你能用它吗?是否特别需要在浏览器中完成?你能装配一些东西吗?它不需要在浏览器中完成(除非有可以使用的浏览器附加组件)。本质上,我只需要像他们的测试软件那样黑我自己的网站:发送请求,查看回复,更改值,发送请求返回,或者stackoverflow是这个帖子的错误位置?