区别于其它登录框漏洞分类文章,本文从实战出发,根据经验,从各种可能情况带你打完一个登录框。
哪里可以测xss?
这个很简单就是errorname参数可控,插入payload实现注入
成功案例:
在FUZZ时还有种情况:一二级目录都没权限,但后面就有权限了。
有些甚至直接将账号密码写在了页面,直接输入验证码即可登录
因此可以尝试:
修改为随机IP
随机UA头
Referrer头 127.0.0.1
进行密码喷洒
修改设备信息例如固件等
加下方wx,拉你一起进群学习
原文始发于微信公众号(红队蓝军):从0到n,登录框实战测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论