关于程序员:一波三折终于找到src漏洞挖掘的方法了建议收藏

40次阅读

共计 5860 个字符,预计需要花费 15 分钟才能阅读完成。

0x01 信息收集

Google Hack 实用语法

迅速查找信息泄露、治理后盾裸露等破绽语法,例如:

filetype:txt 登录
filetype:xls 登录
filetype:doc 登录
intitle: 后盾治理
intitle:login
intitle: 后盾治理  inurl:admin
intitle:index of /

查找指定网站,再加上 site:http://example.com,例如:

site:example.com filetype:txt 登录
site:example.com intitle: 后盾治理
site:example.com admin
site:example.com login
site:example.com system
site:example.com 治理
site:example.com 登录
site:example.com 外部
site:example.com 零碎

关键词能够依据理论状况进行调整,举荐 Google、Bing,搜寻内容如果被删除,网页快照个别仍会有记录。

Shodan、fofa 网络资产搜索引擎

Shodan、fofa、zoomeye、360quake 等网络资产搜索引擎能够用来搜寻网络空间中在线设施,性能非常弱小,相当于网络安全界的 google:

尤其是当初反对 icon 图标、logo 搜寻,那是不便的一比

比方对某 IP 进行信息检索,点击 view raw data:

找到 data.0.http.favicon.data 字段:

搜寻相应的值即可依据企业 logo 查问资产:

http.favicon.hash:-1507567067

举荐装置 shodan chrome 插件,不便进行查看和应用:

https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

fofa 是国内的一款网络空间资产搜索引擎,与 shodan 相似,常见搜寻语法:

title="abc" 从题目中搜寻 abc。例:题目中有北京的网站
header="abc" 从 http 头中搜寻 abc。例:jboss 服务器
body="abc" 从 html 注释中搜寻 abc。例:注释蕴含 Hacked by
domain="qq.com" 搜寻根域名带有 qq.com 的网站。例:根域名是 qq.com 的网站
host=".gov.cn" 从 url 中搜寻.gov.cn, 留神搜寻要用 host 作为名称。例:政府网站, 教育网站
port="443" 查找对应 443 端口的资产。例:查找对应 443 端口的资产
...

实用查问语句:

body="关键词 1" && country=CN&&title="关键词 2"

能够疾速定位国内想要搜寻的网站信息。

子域名收集

举荐几个好用的工具:

JSFinder

在网站的 JS 文件中,会存在各种对测试有帮忙的内容,JSFinder 能够帮忙咱们获取到 JS 中的 url 和子域名的信息,拓展咱们的浸透范畴。爬取分为一般爬取和深度爬取,深度爬取会深刻下一层页面爬取 JS,工夫会耗费的更长,流程如下:

Sublist3r

Sublist3r 是一个 python 版工具,其设计原理是基于通过应用搜索引擎,从而对站点子域名进行列举。Sublist3r 目前反对以下搜索引擎:Google, Yahoo, Bing, 百度以及 Ask,而将来将反对更多的搜索引擎。目前,Sublist3r 同样也通过 Netcraft 以及 DNSdumpster 获取子域名。

云悉

云悉能够在线收集子域名、ip 段、CMS 指纹等信息

0x02 微信公众号抓包技巧

企业微信公众号能够大大拓宽咱们的测试范畴,公众号局部链接能够间接复制到浏览器中关上,而后依照惯例的浸透测试方法进行,然而有的链接复制到浏览器后,会呈现下图状况

对于这种状况,能够通过安卓模拟器抓微信包、真机微信抓包的形式解决,但都绝对不太不便,和大家分享通过 SocksCap64 间接抓微信 PC 端的流量办法。

SocksCap64 是一款性能十分弱小的代理客户端,反对 http/https、socks4/5、TCP、UDP 等协定,在内网浸透中常常应用,同样能够用他来代理微信 PC 客户端的流量,并将流量转发至 burp 中,就能够进行抓包剖析。

首先还是在 burp 中设置监听:

而后在 SocksCap64 中设置代理服务器为 burp 的地址和端口,代理形式 HTTP:

测试一下,是否胜利:

而后利用 SocksCap64 启动微信:

即可胜利抓到微信 PC 端的流量:

0x03 登录界面思路

0x04 短信 & 邮件轰炸绕过

在网站测试的过程中,经常在用户注册登录时呈现手机号 / 邮箱注册,这里就可能呈现短信 & 邮件炸破绽,此类破绽测试比拟不便,尽管有的站点做了防护,但也有一些绕过的方法。

这里收集了局部目前较为风行的长期接管短信的网站,不便用于测试:

https://www.pdflibr.com/

http://www.z-sms.com/

https://www.receive-sms-online.info/

[国内] http://www.smszk.com/

[国外] http://receive-sms-online.com/

[国外] https://smsnumbersonline.com/

[国外] https://www.freeonlinephone.org/

[国外] https://sms-online.co/receive-free-sms

在利用手机号 / 邮箱和验证码作为用户登录凭证时,个别波及到的网站性能点次要包含:

账号注册
首次设置明码时用户身份校验
账号登录
重置明码
绑定手机 / 邮箱
批改绑定手机 / 邮箱
收费试用 / 流动支付 / 反馈处

常见的测试和绕过伎俩:

0x05 逻辑破绽

随着开发人员安全意识的日益增强,IPS/IDS、WAF、全流量检测等防护设施的一直部署,传统的 SQL 注入破绽、命令执行等破绽正变得越来越少,或者越来越难挖(须要绕过各种进攻设施)。但业务逻辑破绽简直能够 bypass 所有传统的平安防护设施,目前还没有十分无效的进攻伎俩。同时,业务逻辑纷繁复杂,再资深的程序员也可能挖坑,所以只有根底扎实,逻辑思维能力强,急躁仔细,不放过任何一个步骤,此类破绽比拟容易挖。

1、批改返回包的越权

场景 1:批改手机号

个别的批改逻辑为:认证原手机号 -> 填写新手机号 -> 提交批改

如果在进行下一步操作时,没有校验上一步的认证是否胜利时,就会存在逻辑缺点绕过。
比方在第一步认证原手机号时,随便输出验证码,将 response 包中的相干字段进行批改,比方 0 改成 1,false 改成 true,即可绕过第一步验证,进入填写新手机号界面,如果第三步提交批改时没有验证第一步的后果,就会造成逻辑破绽。

场景 2:登录绕过

局部网站的身份验证放在了前端,因而只须要将 response 包中的相干字段进行批改,比方 0 改成 1,false 改成 true,就能够登录任意用户账号。

2、程度越权

场景 1:遍历 ID
在一些申请中,GET 或 POST 中有显著的 id 数字参数(手机号、员工号、账单号、银行卡号、订单号等等),能够尝试进行遍历,如果程序没有对以后权限进行判断,就会存在程度越权问题。

场景 2:ID 替换
如果程序对用户标识进行了 hash 或者加密,而又无奈破解用的什么加密形式的话,就无奈通过遍历 ID 来获取其余用户信息了。此时能够尝试注册两个账号,通过替换两个 ID 加密后的值,判断程序是否对权限进行了验证,如果没有,也会存在越权问题。

3、垂直越权

察看 cookie 中的 session 字段,猜想批改,发现:
level=1:admin
level=2:vip user
level=3:normal user

平安倡议:

一、防备病毒或木马的攻打的办法:

1.为计算机装置杀毒软件,定期扫描零碎、查杀病毒;

2.及时更新病毒库、更新零碎补丁;

3.下载软件时尽量到官方网站或大型软件下载网站,在装置或关上来历不明的软件或文件前先杀毒;

4.不随便关上不明网页链接,尤其是不良网站的链接,陌生人通过 QQ 给本人传链接时,尽量不要关上;

5.应用网络通信工具时不轻易接管陌生人的文件,若接管可勾销“暗藏已知文件类型扩展名“性能来查看文件类型;

6.对公共磁盘空间增强权限治理,定期查杀病毒;

7.关上挪动存储器前先用杀毒软件进行查看,可在挪动存储器中建设名为 autorun.inf 的文件夹(可防 U 盘病毒启动);

8.须要从互联网等公共网络上下载材料转入内网计算机时,用刻录光盘的形式实现转存;

9.对计算机系统的各个账号要设置口令,及时删除或禁用过期账号;

10.定期备份,当受到病毒严重破坏后能迅速修复。

二、预防 QQ、微信、微博等社交平台账号被盗的办法

1.账户和明码尽量不要雷同,定期批改明码,减少明码的复杂度,不要间接用生日、电话号码、证件号码等无关个人信息的数字作为明码;

2.明码尽量由大小写字母、数字和其余字符混合组成,适当减少明码的长度并常常更换;

3.不同用处的网络应用,应该设置不同的用户名和明码;

4.在网吧应用电脑前重启机器,警觉输出账号密码时被人偷看;为防账号被侦听,可先输出局部账号名、局部明码,而后再输出剩下的账号名名、明码;

5.波及网络交易时,要留神通过电话与交易对象自己确认。

三、平安应用电子邮件注意事项

1.不要随便点击不明邮件中的链接、图片和文件;

2.应用邮箱地址作为网站注册的用户名时,应设置与原邮箱登录明码不雷同的网站明码;

3.如果有初始密码,应批改明码;

4.适当设置找回明码的提醒问题;

5.当收到与个人信息和金钱相干(如中奖、集资等)的邮件时要提高警惕。

四、钓鱼网站防备办法

1.通过查问网站备案信息等形式核实网站资质的真伪;

2.装置平安防护软件;

3.要警觉中奖、批改网银明码的告诉邮件、短信,不要轻意点击未经核实的生疏链接;

4.不要在网吧、宾馆等公共电脑上登录集体账号或进行金融业务等。

五、防备社交网站信息泄露防备

1.利用社交网站的平安与隐衷设置爱护敏感信息;

2.不要轻易点击未经核实的链接;

3.在社交网站审慎公布个人信息;

4.依据本人对网站的需要进行注册。

六、防备个人信息泄露的办法

1. 在安全级别较高的物理或逻辑区域内解决集体敏感信息;

2. 敏感个人信息需加密保留;

3. 不应用 U 盘存储交互集体敏感信息;

4. 尽量不要在可拜访互联网的设施上保留或解决集体敏感信息;

5. 只将个人信息转移给非法的接受者;

6. 集体敏感信息需带出公司时要避免被盗、失落;

7. 电子邮件发送时要加密,并留神不要错发;

8. 邮包寄送时抉择可信赖的邮寄公司,并要求回执;

9. 防止传真谬误发送;

10. 纸质材料要用碎纸机销毁;

11. 废除的光盘、U 盘、电脑等要消磁或彻底毁坏。

七、防备混充网站的办法

1. 间接输出所要登陆网站的网址,不通过其余链接进入;

2. 登录网站后注意核查所登录的网址与官网颁布的网址是否相符;

3. 登录官网公布的相干网站辨识真伪;

4. 装置防护软件,及时更新零碎补丁;

5. 当收到邮件、短信、电话等要求到指定的网页批改明码,或告诉中奖并要求在支付奖金前先领取税金、邮费等时,务必提高警惕。

八、爱护网上购物平安的办法

1. 核实网站资质及网站联系方式的真伪,尽量到出名权威的网上商城购物;

2. 尽量通过网上第三方领取平台交易,切忌间接与卖家私下交易;

3. 在购物时要留神商家的信用、评估和联系方式;

4.在交易实现后要残缺保留交易订单等信息;

5. 在填写领取信息时,肯定要查看领取网站的真实性;

6. 留神爱护个人隐私,间接应用集体的银行账号、明码和证件号码等敏感信息时要谨慎;

7. 不要轻信网上高价采购广告,也不要随便点击未经核实的生疏链接。

九、防备网络传销的办法

1. 在遇到相干守业、投资我的项目时,要认真钻研其商业模式。无论打着什么样的旗号,如果其经营的我的项目并不发明任何财产,却允诺只有交钱入会,会倒退人员就能获取“回报”,请提高警惕。

2. 克服贪欲,不要空想“一夜暴富”。如果抱着侥幸心理参加其中,最终只会落得血本无归、倾家荡产,甚至走向立功的路线。

十、平安应用 WI-Fi 的办法

1. 勿见到收费 WI-Fi 就应用,要用牢靠的 WI-Fi 接入点,敞开手机和平板电脑等设施的无线网络主动连接功能,仅在须要时开启;

2. 警觉公共场所收费的无线信号为不法分子设置的钓鱼陷阱,尤其是一些和公共场所内已凋谢的 WI-Fi 同名的信号。在公共场所应用生疏的无线网络时,尽量不要进行与资金无关的银行转账与领取;

3. 批改无线路由器默认的管理员用户和明码,将家中无线路由器的明码设置得简单一些,并采纳强明码,最好是字母、数字和特殊符号的组合;

4. 无人应用时,敞开无线路由器电源。

十一、保障应用智能手机平安的办法

1. 为手机设置拜访明码是爱护手机平安的第一道防线,以防智能手机失落时,犯罪分子可能会取得通讯录、文件等重要信息并加以利用;

2. 不要轻易关上陌生人通过手机发送的链接和文件;

3.为手机设置锁屏明码,并将手机随身携带;

4. 在 QQ、微信等应用程序中敞开天文定位性能,并仅在须要时开启蓝牙;

5.常为手机数据做备份;

6.装平安防护软件,并常常对手机零碎进行扫描;

7.权威网站下载手机应用软件,并在装置时审慎抉择相干权限;

8. 不要试图破解本人的手机,以保障应用程序的安全性。

十二、爱护手机领取平安的办法

倡议手机领取客户端与手机绑定,应用数字证书,开启实名认证;

最好从官方网站下载手机领取客户端和网上商城利用;

应用手机领取服务前,按要求在手机上安装专门用于平安防备的插件;

登陆手机领取利用、网上商城时,勿抉择“遗记明码”选项;

常常查看手机工作管理器,查看是否有恶意程序在后盾运行,并定期应用手机平安系统软件扫描手机零碎;

无论以何种理由要求你把资金打入陌生人账户、平安账户的行为都是欺骗立功。切勿上当受骗!

十三、网络欺骗类型分别办法

1.利用 QQ 盗号和网络游戏交易进行欺骗,假冒好友借钱;

2.网络购物欺骗,收取订金骗钱;

3.网上中奖欺骗,指犯罪分子利用流传软件随便向互联网 QQ 用户、邮箱用户、网络游戏用户、淘宝用户等公布中奖提示信息;

4.“网络钓鱼”欺骗,利用欺骗性的电子邮件和伪造的互联网站进行欺骗流动,获取受骗者财务信息进而窃取资金;

十四、防备网络虚伪、有害信息办法

1.及时举报相似流言信息;

2.不辟谣,不信谣,不传谣;

3.要留神分别信息的起源和牢靠度,要通过经第三方可信网站认证的网站获取信息;

4.要留神打着“发财致富”“遍及迷信”,传授“新技术”等幌子的信息;

本文由 mdnice 多平台公布

正文完
 0