汇总一些项目中挖到过的,和做项目的时候会用到的测试方法,最近也是疲于面试,讲的是时候总是一时想不起来,所以决定还是总结一下吧,以后我还是要多放网络安全相关的,面试官看时候也知道我了解哪些点,但奈何笔记太多需要整理一下再放出来,以前不敢放是因为确实一直觉得自己太菜了。
如果后面有遇到新的方法再继续补充吧:(
目录一个登录页面可能存在哪些漏洞:
sql注入
- 必测的一个漏洞了,可以先用万能语句'or 1=1试试水。
xss漏洞
- 在登录框中输入js代码,比如弹框代码,有显示弹框就是有xss漏洞。
- 比如注销的时候重定向到登录页面,在重定向的时候携带的一些参数会回显到登录页面中,那么我们就可以利用该重定向的参数改成xss的payload,注销后参数回显到登录框的时候就会显示弹出弹框。
csrf漏洞
- 登录框中输入某些标签代码,如果登录进去而且请求成功的话就存在csrf。
任意文件下载漏洞
- 某某协议手册点进去看下是否有目录穿越漏洞。
无限手机号注册
- 通过抓包把手机号改为自己的手机号拿到验证码注册。
任意密码修改
-
修改密码手机号验证,通过爆破验证码的方式修改。
-
验证码失效,有些验证码形同虚设的就可以删掉发包看看行不行。
-
cookie替换,我自己在重置密码走到最后一步的时候,可以通过在修改另一个用户的密码的时候拿到的cookie,然后替换到我们最后一步的修改密码发包,可以成功修改到别人的密码。
-
可以尝试是否能够直接跳过前面的验证,访问到修改密码的页面直接发包修改密码。
-
通过发送验证码到自己的手机号中,提交修改密码的时候,抓包改成其他用户的手机号。
-
修改密码的时候抓包,将用户的邮箱改成自己的,验证码收到后就修改密码成功。(这里的还有一个信息泄漏漏洞,因为重置密码的时候通过手机号就能够收集到该手机号的用户信息。)
验证码爆破/绕过
- pkav工具(yyds)。
- 通过一些第三方api识别验证码来绕过。
- 通过一些万能验证码,全零00000。
- 还有一些弱类型转换也有可能。
- 前端校验的话直接抓包绕过即可。
暴力破解
- pkav工具(yyds),有验证的时候经常用。
- token抓取爆破,bp抓包放到攻击器里面抓token即可。
不安全提示
- 注册或者登录的时候返回用户名错误的话就能够枚举爆破用户名。
换IP实现爆破没有限制,没有锁定用户
- 爆破的时候可能会对爆破的IP进行封禁和登录次数,但是换ip后还能继续爆破的话那就是没有锁定用户,也属于漏洞,确实是可以爆破的。
登录页面查看源代码泄漏信息
- 虽然说起来很low的一个漏洞,但是之前护网的时弱口令多到离谱后,还听朋友说他们那边护网还有厂商是直接把后台登录的用户名密码直接写在了源代码中了。