挖洞方法与心态系列-揭露大佬挖主应用的一般性流程(版本1)

挖洞方法与心态系列-揭露大佬挖主应用的一般性流程(版本1)

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

前言

本文主要谈一谈目标的主域名相关的一般性测试流程.

正文

1.测试登陆过程

• 是否允许使用邮箱或者使用Google这样的第三方账户注册
• 是否允许你使用公司的邮箱注册
• 注册/登陆页面的content-type是什么,需要注意
• 当你输入有效的凭证时，需要注意你重定向到了哪个页面(类似/dashboard接口要尤其注意)
• 有没有使用2FA机制,如果你输入错误的验证码(OTP)并重定向到改代码,会发生什么,如果你直接访问/dashboard接口又会发生什么
• 检查2FA的速度限制
• 尝试使用delete方法发送2FA请求
• 尝试在注册页面的User-Agent中发送blind XSS有效载荷

2.注意权限

• 尝试以管理员的身份捕获所有请求,而后将所有与管理员相关的接口使用低权限的角色发送

3.有无文件上传功能

• 检查存储型XSS 或者RCE

4.阅读文档

• 了解有哪些是禁忌的 ------>尝试绕过

5.检查JS文件

• 查找所有接口----->检查是否有任何隐藏的 API 接口----->可能帮助你找到 IDOR
• 检查是否有 DOM 型XSS

6.检查反射型XSS/模板注入

7.查看重置密码页面是否有Host header注入

8.了解重置密码的令牌是如何生成的

9.waybackurls上面可否找到老接口

10.检查所有接口是否有 CSRF

11.检查JS文件中是否存在key/token泄漏

12.检查JSONP是否允许----->泄露用户数据

13.将content-type从application/JSON 更改为 XML看是否有XXE 或 检测一下是否有stored XSS

14.检查是否有基于反向代理的攻击

15.检查支付是否可以绕过>尝试更改值>操作响应等

16.正确检查JWT令牌（详细请搜索基于JWT的攻击）

17.检查是否有缓存中毒

18.检查是否存在请求走私

19.检查 Webhook是否能够产生  SSRF

20.检查CORS

21.检查 XSSI

22.检测自动绑定漏洞(mass assignment vulnerability)

23.fuzz api接口 > 查看错误响应信息/堆栈 > 有时候会发现敏感信息泄露

24.检测那些没啥商业价值的功能> 比如退订 > 捕获请求>尝试 IDOR/CSRF

25.检查竞态条件

26.检查验证码绕过

27.如果使用 graphQL >检查基于 graphql 的攻击(观看 InsiderPHD 视频来学习）

28.检查 AWS 相关的漏洞

29.查看android/ios应用是否在范围内>捕获请求>尝试相同的攻击（特别是IDORS）

30.检测重定向开发攻击

31.在 JSON 请求正文中将 false 更改为 true，检查是否发生变化>比如权限是否提升了

32.检查 CRLF

33.测试Oauth是否能绕过