挖洞方法与心态系列-揭露大佬挖主应用的一般性流程(版本1)

admin 2022年9月21日23:45:32安全文章评论3 views1261字阅读4分12秒阅读模式

挖洞方法与心态系列-揭露大佬挖主应用的一般性流程(版本1)

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

前言

本文主要谈一谈目标的主域名相关的一般性测试流程.

正文

1.测试登陆过程

  • 是否允许使用邮箱或者使用Google这样的第三方账户注册
  • 是否允许你使用公司的邮箱注册
  • 注册/登陆页面的content-type是什么,需要注意
  • 当你输入有效的凭证时,需要注意你重定向到了哪个页面(类似/dashboard接口要尤其注意)
  • 有没有使用2FA机制,如果你输入错误的验证码(OTP)并重定向到改代码,会发生什么,如果你直接访问/dashboard接口又会发生什么
  • 检查2FA的速度限制
  • 尝试使用delete方法发送2FA请求
  • 尝试在注册页面的User-Agent中发送blind XSS有效载荷

2.注意权限

  • 尝试以管理员的身份捕获所有请求,而后将所有与管理员相关的接口使用低权限的角色发送

3.有无文件上传功能

  • 检查存储型XSS 或者RCE

4.阅读文档

  • 了解有哪些是禁忌的 ------>尝试绕过

5.检查JS文件

  • 查找所有接口----->检查是否有任何隐藏的 API 接口----->可能帮助你找到 IDOR
  • 检查是否有 DOM 型XSS

6.检查反射型XSS/模板注入

7.查看重置密码页面是否有Host header注入

8.了解重置密码的令牌是如何生成的

9.waybackurls上面可否找到老接口

10.检查所有接口是否有 CSRF

11.检查JS文件中是否存在key/token泄漏

12.检查JSONP是否允许----->泄露用户数据

13.将content-type从application/JSON 更改为 XML看是否有XXE 或 检测一下是否有stored XSS

14.检查是否有基于反向代理的攻击

15.检查支付是否可以绕过>尝试更改值>操作响应等

16.正确检查JWT令牌(详细请搜索基于JWT的攻击)

17.检查是否有缓存中毒

18.检查是否存在请求走私

19.检查 Webhook是否能够产生  SSRF

20.检查CORS

21.检查 XSSI

22.检测自动绑定漏洞(mass assignment vulnerability)

23.fuzz api接口 > 查看错误响应信息/堆栈 > 有时候会发现敏感信息泄露

24.检测那些没啥商业价值的功能> 比如退订 > 捕获请求>尝试 IDOR/CSRF

25.检查竞态条件

26.检查验证码绕过

27.如果使用 graphQL >检查基于 graphql 的攻击(观看 InsiderPHD 视频来学习)

28.检查 AWS 相关的漏洞

29.查看android/ios应用是否在范围内>捕获请求>尝试相同的攻击(特别是IDORS)

30.检测重定向开发攻击

31.在 JSON 请求正文中将 false 更改为 true,检查是否发生变化>比如权限是否提升了

32.检查 CRLF

33.测试Oauth是否能绕过


原文始发于微信公众号(迪哥讲事):挖洞方法与心态系列-揭露大佬挖主应用的一般性流程(版本1)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月21日23:45:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  挖洞方法与心态系列-揭露大佬挖主应用的一般性流程(版本1) http://cn-sec.com/archives/1309153.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: