~ 精感石没羽,岂云惮险艰 ~
【渗透测试】16个实用谷歌浏览器插件分享
思路总结
1、之前是否已经留过后门,是,直接getshell,否,进行测试
2、SQL注入&万能密码:admin' or 1=1 --+
3、明文传输:抓包后验证码,密码回显
4、弱口令猜测/爆破(没有验证码),或者一些不安全的提示,比如注册时的该用户已存在,登录的密码错误
5、用户名枚举(社工):网站/子站信息泄露,爱企查,学校群,表白墙,送奶茶
6、JS源码分析,js限制绕过(前端验证,后端不验证):通过一些伪造的信息绕过前端,抓包后修改恶意参数—>登录成功
7、未授权/越权,越权:通过修改或替换请求包中的用户标识(如uid)等信息,尝试以其他用户身份访问资源或者操作。
8、逻辑漏洞:任意重置密码,忘记密码的验证绕过—>修改响应抓包状态码。
9、返回凭证:get/post的返回信息,可能包含验证码。
10、密码找回凭证:通过密保问题找回密码,查看源码,密保问题和答案就在源码中。
11、短信轰炸,在登陆处忘记密码处任意输入账号及任意手机号burp拦截,并放置重放处,账号及手机号未判断是否存在,即可一直发送短信,造成短信轰炸,存在逻辑问题。
12、验证码暴力破解:前端验证码验证了,但是后端没有设置验证码的请求限制。
13、删除COOKIE值,验证码参数为空的绕过
14、COOKIE伪造:通过修改Cookie中的某参数来实现登录其他用户。
15、用户名覆盖:比如管理员的账号为admin,注册一个同为admin的账号,实现覆盖用户。
16、忘记密码:任意用户密码重置
-
短信验证码可爆破。 -
短信验证码显示在获取验证码请求的回显中,与返回凭证一样: -
注册手机号及短信验证码未进行匹配性验证:攻击者用自己手机号码收到的重置用短信验证码可以重置其它用户的密码。 -
登陆成功后通过修改密码功能平行越权(类似CSRF)。 -
未校验身份信息的唯一标识cookie信息:重置请求参数中没有用户名、手机号码、id等身份标识,唯一的身份标识是在cookie中。攻击者用自己的账号进行重置,最后重置请求中替换掉请求中的cookie进行其它用户密码的重置。 -
修改返回包响应码及响应包信息(和上面相似)。
17、个人信息虚假伪造:比如需要填写身份证信息的时候,可以伪造一个大于18岁的,就可以绕过防沉迷系统。
18、万能验证码0000或者9999,出现的比较少。
19、目录扫描,源码泄露,git泄露:源码中可能包含默认的账号密码,如果是git开源项目则直接搜默认账号密码即可。
20、验证码识别工具:比如burp suite的插件 captcha-killer-modified,超级鹰,验证码识别模型(机器学习)等
插件 captcha-killer-modified 适配最新版的 burp suite ,放在下面链接了
百度:
https://pan.baidu.com/s/1HIM-Mjv8pNz2oNt0JhtU5w?pwd=1212
夸克:
https://pan.quark.cn/s/35aa7f62a87f
往期推荐
原文始发于微信公众号(泷羽Sec):登陆页面的20种渗透思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论