随笔分类 - web安全
摘要:【认证测试】 1. 凭证在加密通道中的传输测试(OTG-AUTHN-001) 应用程序在传输用户凭证(登录信息)时,是否有使用https。 测试方法: 1)黑盒测试:直接工具抓包。(在http访问的页面通过https post方法发送数据也不可行) 2)灰盒测试:与开发人员沟通是否使用https。
阅读全文
摘要:【身份管理测试】 1. 角色定义测试(OTG-IDENT-001) 测试方法:即纵向越权。 2.用户注册流程测试(OTG-IDENT-002)(括号内容为个人理解) 测试方法: 1)验证用户注册的身份要求与业务和安全要求一致 · 是否任何人都能注册访问?(是否需要内部人员或是特定证件才可注册) ·是
阅读全文
摘要:常规操作,一般都是dirsearch + URLfinder扫一遍,然后打开报告一个个分析确认。。 那天测试的时候,两个工具一顿骚操作,没发现啥问题,在查到这个路径时,突然发现,这家伙返回200空白页居然有html! 然后还有js,那么URLfinder爬js肯定没爬到这里啦,那么就抱着试一试的心态
阅读全文
摘要:又是从补天大哥拿的经验,赶紧收藏记录下来。。 因为我之前是在burpsuite里怼着接口去掉cookie测未经授权访问的,基本算是灰盒测试。 这次补天的报告,是从黑盒的角度来测试,确实是不同的思维点,值得学习! 大哥的报告顺序是:后台管理登陆地址 → 后台主页地址 → fuzz测试出用户管理列表接口
阅读全文
摘要:最近又被补天大哥怼了下,他报告算是写得很清楚,写得很简单,没啥特殊绕过的动作,然而,我就是模仿半天模仿不来,大佬上传马子就ok,我传就500报错。。我差在哪?! 最后细致地我发现了端倪,大佬,用的是content-type:image/jpeg !! 然而原生的报文是content-type:ima
阅读全文
摘要:以BWAPP为例,测试XXE漏洞,用DNSLOG作回显。 一、选择XXE漏洞测试,抓包,点击【anybugs?】。 二、获取域名 三、直接上payload 四、查看DNSLOG回显 如有错误,请及时指正!
阅读全文
摘要:由于内容比较简单,我直接贴图,怕我自己忘了。 测试Fastjson版本号:1.2.15 直接发送用burpsuite发送payload,将dataSourceName改成dnslog获取到的域名。 payload: { "a":{ "@type":"java.lang.Class", "val":"
阅读全文
摘要:配置管理测试 1、网路和基础设置配置测试(OTG-CONFIG-001) 测试方法:已知服务器漏洞(APache、IIS等)。略。 2、应用平台配置测试(OTG-CONFIG-002) 测试方法: a. 黑盒测试:已知web服务器文件和目录;注释审查 b. 灰盒测试: · 只启用应用程序需要的服务模
阅读全文
摘要:【信息收集测试】 1、搜索引擎信息收集(OTG-INFO-001) 通过搜索引擎收集以下: · 网络拓扑图和配置 · 管理员和其他员工的归档文章和邮件 · 登录过程和用户名的格式 · 用户名和密码 · 错误信息内容 · 开发、测试的网站版本 方法:Google Hacking数据库 在搜索引擎输入【
阅读全文
摘要:目标:burpsuite抓取微信小程序的数据包,而且该系统需指定DNS!否则无法访问! 大家都知道小程序是https传输的,所以手机端是需要安装burp证书的。 已忽略安装证书的步骤,可自己百度搜索,文章很多我就不班门弄斧了。 环境:夜神模拟器,burpsuite。 接网线,本地:192.168.2
阅读全文
摘要:正常的请求,则正常响应出页面html。 我们大部分情况下插入的xss代码,基本上都在参数值上!而今天举得例子在路径上! 先尝试在路径上添加123: 响应: 出现了输入对应的输出,本来挖掘跨站就是要挖掘输入对应是否输出的位置。 所以,直接上xss语句测试。 相对应的,响应成功弹出弹窗。 这种是比较罕见
阅读全文
摘要:本次测试使用Fiddler。 并发测试场景:每天或是每个活动只能领一次,或是获取一次礼品等。 例子:该活动只能拆一个福袋。 Fiddler拦截,选择数据包,敲击键盘R,复制数据包 批量选择数据包,点击GO 则发现漏洞,可同时拆取多个福袋。
阅读全文
摘要:一、保险类业务: 1、如:某公司推出某短期旅游险,有效期只有1天,前端一般改不了时间(改的了那是功能bug了),所以需要抓包绕过js限制。 测试点1:生效日期能否改为当前时间之前。(假设你买的是车祸险,昨天出了车祸,今天买保险,把时间改成前天或昨天,那不就保险生效了……) 测试点2:结束时间能否延长
阅读全文
摘要:本文以fiddler做测试工具 并发测试主要测试场景:签到、每天领积分等,测试是否并发发送请求服务器可多次响应。 例子:测试并发签到 1、先进入对应页面,然后在fiddler按F11开启拦截数据包。 2、点击签到触发请求 3、复制请求,鼠标选择请求包,按下 r 快捷键复制请求。 4、全部选择,点击G
阅读全文
摘要:本篇纯文字发表自己对自插型xss的看法 selfxss,顾名思义,自己输入xss脚本,输出仅自己看到,仅xss到自己。 常见的有:查询框的xss、某个账号中,添加自己的分组类等 查询框的xss: 即在查询框输入什么,则在输出的页面返回什么,然后没有过滤或编码引发,插入脚本后,弹出弹框,但刷新页面后又
阅读全文
摘要:环境:一个微信端(所以用浏览器演示UI有点变形) 下图是未插任何脚本时的原页面。 按惯例,上一波【"><script>alert(1)</script>】 无弹窗,看下源代码,尖括号被过滤掉一半!? 试了半天,尖括号还是无法绕开。。 payload: 【 ';})</script><script>a
阅读全文
摘要:测试目标字段:页面下方的红色框位置。 由于编辑状态是编辑器,所以有可能出现跨站! 我插了个input然而并没有当代码执行 可能有些测试人员就认为被过滤掉了,因为尝试了各种尖括号、js事件、转义、编码等,都是原样输出,估计不少人放弃了…… 我抓了下包看看 发现,无论输入什么,都被自动加在段落标签<p>
阅读全文
摘要:靶机:weblogic12.1.3.0 战斗机:kali 导弹:burpsuite 1、首先开启kali某端口监听 2、向靶机发送exp 3、查看kali监听 打码保平安~~ 4、打上补丁 5、验证补丁 kali继续监听 burp发包 kali监听无回显,漏洞已不存在!
阅读全文
