某银行的渗透测试
3月末就接到这个项目了,但是中间拖拖拉拉,一直到最近几天,才有时间测试吧
开工
前期沟通:采用IP白名单+uat环境+客户提供账号进行渗透
看了一眼提供的资产,存在公众号,小程序,APP。
因为APP测试起来,总是各种不愉快(主要还是不会APP hook)
先测公众号:
开始测的时候,看了一下uat测试公众号,没几个能用的,来回沟通之后,也是放弃了
转战小程序:
小程序中找到一个发帖的地方,这个地方尝试了xss之后,没啥用,都是json格式不转义
看见这个图片,我就想到图片url是否可控?尝试上传了一张图片,上传后给了一个链接。后面在发送评论的时候,用的是这个url的地址,尝试将url地址修改为burp的collabator地址,进行发送。
添加成功,尝试点进去查看
查看该评论,是一个黑色图片,应该是没加载上,就自动设置为黑色
这个时候看到burp的地址就有了回显,高危到手。如果这个地址是一个获取cookie的地址,那么就能获取所有用户查看这张图片的cookie了
发现环境没有做反爬设置,如果持续访问这个Url,就能增大浏览量。一个低危。这个后果可能会导致用户群体引起到这个页面进行观看。用户发布恶意言论的话,也会被首先观看到
下一个功能点:开通二级电子账号
开通的时候需要身份证上传,想到了一个思路:以往就是正常是正反身份证上传。常见漏洞点就是遍历id看身份证图片,或者就是Ocr无限识别。但是如果身份证正面做校验了,身份证背面没有做校验呢,这不也是个小的绕过点。
尝试了一下这个校验了,不能够进行开通~
测到最后发现不能开这个账号,因为客户没提供uat的身份证图片,那就今天先测试结束~
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
欢迎关注公众号“呼啦啦安全”,原创技术文章第一时间推送。
原文始发于微信公众号(呼啦啦安全):某银行的渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论