又是从补天大哥拿的经验,赶紧收藏记录下来。。
因为我之前是在burpsuite里怼着接口去掉cookie测未经授权访问的,基本算是灰盒测试。
这次补天的报告,是从黑盒的角度来测试,确实是不同的思维点,值得学习!
大哥的报告顺序是:后台管理登陆地址 → 后台主页地址 → fuzz测试出用户管理列表接口 → 直接调接口。。全程黑盒。
那么接下来我逆着来推理下大哥的逻辑:
首先是大哥拿到了某后台管理登录的网址
接着查看html源码,发现首页地址,http://xxx/index
直接访问,访问302,然后大哥来了个骚操作!在url后面加了【;.js】,就绕过了权限,直接可以看到首页的html,不过这个没啥用,因为是空白的。但是!从这点应该可以判断出,这个系统是有未经授权访问漏洞的,只不过html没返回,可能是异步传输,所以大概率接口也是存在未经授权访问漏洞的,那么下一个点就是找出接口。
然后用fuzz测试,即模糊路径扫描,扫出了用户管理列表的路径:http://xxxx/user/list
同样,直接访问是会出现302 的,但是加上【;.js】就会出现了用户管理查询的界面,由于是异步传输,所以页面也为空。
那么接下里,直接调用接口加【;.js】就ok了。
虽说测试这个功能的时候,肯定不会漏这个,但是都是从里面测的,这个从外面找路径的思路我也知道,但没试过,也比较费时间,但是居然加【;.js】就可以绕过,也算是学到了新知识了!
我用dirsearch是扫不出来这个路径,有啥好的介绍不?
标签:补天,接口,js,访问,未经,笔记,测试 From: https://www.cnblogs.com/4wheel/p/17481418.html