“ 今天你不挖洞,明天洞就被别人挖走了”
通过T-star比赛,分享一些小tips
01
—
tips1
对验证码的测试方法,验证码能不能过期,验证码能不能被别人用,能不能爆破验证码,手机,邮箱验证码能不能回显,验证码有没有作用,还有跟短信验证码相关的,短信炸弹。
最近腾讯T-star比赛第一题
首先没有验证手机号能不能发送,然后验证码直接在响应包中出现,可直接登录。之前在腾讯也挖到过类似的漏洞
02
—
tips2
挖一些简单的信息泄露,或者说越权,对其参数进行逐一测试即可,有幸运儿或许能挖到其中的注入哦,或者说注册一个其他账号,换一下他们中的验证部分。
同样在这次的T-star中第五题,考点是go的溢出,不过它有个越权漏洞。
平台是用qq登录的,买东西的话,有个参数是rtx,通过鉴别这个rtx来买东西,用其他账户的rtx可以花它的btc来买东西。(没地方复现了,只能口述,希望大家明白我的意思)
03
—
tips3
分享几个常用的payload:
"'></textarea><h1>x</h1>x//<img><iframe><marquee loop=1 width=0 onfinish=alert`1`>XSS</marquee><svg/onload=alert('XSS')><script>alert(1)</script>
---------------------
欢迎关注公众号:虚拟尽头
如何做到更加细致的信息搜集(上)
如何做到更加细致的信息搜集(下)
使用Yakit快速刷取cnvd
师傅们,聊天框发送"二维码",加我好友一起交流呀。
原文始发于微信公众号(虚拟尽头):SRC 挖洞tips
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论