这周忙于各种课程结尾的事情(英语课程超多东西要搞要准备)和学校的一些手续,由于学校渗透课程缘故,完整地刷了下pikachu靶场,也算是巩固一下基础吧,感受到其实很多漏洞在iot层面确实无法体现,但也许因此也有新的攻击面产生
比如,ssrf,csrf,越权,这些是不是可以用来对某些场景下的设备进行攻击?这也许比欺骗服务器和管理员相比,显得更加有意思了,不必完全着眼于rce,内存破坏这些,有时候更需要web那些出其不意的思路去看待问题,
而且,web黑盒思想值得借鉴于目前仅凭逆向分析固件而受限的挖洞能力,应该把黑白盒有机结合起来
最大的收获还是看了一下如何绕过验证码和token进行口令爆破,yakit的序列请求确实很好用,这个还能进行前端加密参数的爆破(热加载模式),非常实用,还有更多功能等待探索
后面要考试、写报告之类的,都挤在一起了,当然很感谢课程带给我学习方面的敦促,可惜这次英语六级,因为上次报名忘记缴费导致这次没得去了,下次一定(