攻防项目测试

攻防项目测试

一、项目介绍

一、某公司，是一家小型的电商卖货平台，因网站维护管理员失误导致用户身份令牌token算法泄漏，平台上包含用户账号以及账号金额等重要数据，因此该公司聘请你找到网站平台漏洞并尽快修复。(请你写出查找与修复漏洞步骤)

二、已知信息

已知信息:
1.    平台账号后台       http://{Kali_IP}/userinfo
2.    token用户身份令牌  token=dXNlcm5hbWU9YWRtaW4=
请求格式: 
http://{Kali_IP}/       # 网站首页
http://{Kali_IP}/userinfo?token=dXNlcm5hbWU9YWRtaW4=   # 用户数据

三、解题思路

1、    安装并使用root登录Kali 系统
2、    在Kali终端窗口使用命令systemctl restart ssh 开启重启ssh远程登录服务
3、    通过远程服务使用命令scp 靶机程序压缩包名称 root@kali_IP地址 上传
    a)    命令示例:  靶机程序 baji.zip    kali系统IP地址为: 192.168.233.135
        scp baji.zip root@192.168.233.135:/root

4、    在kali系统/root目录下使用命令unzip baji.zip解压靶机程序

5、    使用命令python3 Web.py 运行某电商平台网站靶机

6、    Windows客户端开启抓包软件抓取靶机密文数据

7、    在Kali 使用命令运行python3 DeBase64.py 解密程序

四、网站修复思路:

1、强化网站令牌身份验证算法，加强对令牌值的校验机制。
2、更新用户数据加密算法，提高数据加密的强度和数据校验的可靠性。 修复总结: 采用AES非对称加密算法，并嵌套多层加密算法以增强数据的安全性。