习惯了相处,就越害怕分开;习惯了相处,就越害怕亲密。习惯真的太可怕了。——孟云 《前任四》
关于登录场景的一些src测试点,这里没有涵盖重置密码,用户注册,会在后续的场景里面出。
其实下面的tips,有些也是比较笼统的,比如js信息泄露,信息泄露了什么,账号密码,备份文件,解密的key,云服务的sercret,key。
在测试的时候,我们要想着怎么有危害,我们就怎么来。
用户名密码可枚举验证码可绕过验证码复用验证码可识别账号密码为加密参数客户端验证绕过万能验证码验证码可爆破验证码未作绑定验证码回显跳过验证步骤会话固定注销功能有效性url重定向弱口令爆破数据包信息泄露明文传输js信息泄露源码泄露后台地址泄露未授权访问万能密码XXE漏洞sql注入漏洞命令执行漏洞oauth2身份验证漏洞XSS漏洞点击劫持漏洞空口令更换请求方式导致的登录绕过漏洞通用框架,nday
欢迎关注虚拟尽头!!!
原文始发于微信公众号(虚拟尽头):下次测试登录场景,按这个来
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论