dvwa学习之 JavaScript Attacks(前段攻击)

做完这个项目感觉就是破解密码,总结一句话:寻找前段token加密的方法,然后自己写相关加密过程,得到最终的token值,然后利用burpsuite填写token就OK了。(这是学习总结,实验博客在这里:https://blog.csdn.net/qqchaozai/article/details/102756976)

low级:f12后,看见token值加密是使用MD5,下载页面,在生成token函数添加alert(MD5(rot13("success")));这样直接弹出token值。

medium级:f12后,参考文章写是是使用路径访问,但是如果使用火狐浏览器,在调试器可以直接看见使用js文件加密。还是可以将破解代码写在页面上。function do_something(e){for(var t="",n=e.length-1;n>=0;n--)t+=e[n];return t}      alert(do_something("XX"+'success'+"XX"))。重要的就是这一句。然后是burpsuite填写相关的token值。

high级:f12后,在调试器中看见加密的js代码所以需要http://deobfuscatejavascript.com/# 解密加密的js代码,接下来参考实验博客编写破解代码。

不可能级别:你改任你改,反正不信任你。

接下是课外知识:暂时没有。

你可能感兴趣的:(dvwa学习之 JavaScript Attacks(前段攻击))