关键词可以根据实际情况进行调整,推荐Google、Bing,搜索内容如果被删除,

Shodan、fofa、zoomeye、360quake等网络资产搜索引擎可以用来搜索网络空间中在线设备,功能十分强大,相当于网络安全界的google:

fofa是国内的一款网络空间资产搜索引擎,与shodan类似,常见搜索语法:

title=abc 从标题中搜索abc。例:标题中有北京的网站header=abc 从http头中搜索abc。例:jboss服务器body=abc 从html正文中搜索abc。例:正文包含搜索根域名带有的网站。例: 根域名是qq.com的网站从url中搜索注意搜索要用host作为名称。例: 政府网站, 教育网站port=443 查找对应443端口的资产。例: 查找对应443端口的资产…

在网站的JS文件中,会存在各种对测试有帮助的内容,JSFinder可以帮助我们获取到JS中的url和子域名的信息,拓展我们的渗透范围。爬取分为普通爬取和深度爬取,深度爬取会深入下一层页面爬取JS,时间会消耗的更长,流程如下:

Sublist3r是一个python版工具,其设计原理是基于通过使用搜索引擎,从而对站点子域名进行列举。Sublist3r目前支持以下搜索引擎:Google, Yahoo, Bing, 百度以及Ask,而未来将支持更多的搜索引擎。目前,Sublist3r同样也通过Netcraft以及DNSdumpster获取子域名。

企业微信公众号可以大大拓宽我们的测试范围,公众号部分链接可以直接复制到浏览器中打开,然后按照常规的渗透测试方法进行,但是有的链接复制到浏览器后,会出现下图情况

对于这种情况,可以通过安卓模拟器抓微信包、真机微信抓包的方式解决,但都相对不太方便,和大家分享通过SocksCap64直接抓微信PC端的流量方法。

SocksCap64是一款功能非常强大的代理客户端,支持http/https、socks4/5、TCP、UDP等协议,在内网渗透中经常使用,同样可以用他来代理微信PC客户端的流量,并将流量转发至burp中,就可以进行抓包分析。

然后在SocksCap64中设置代理服务器为burp的地址和端口,代理方式HTTP:

在网站测试的过程中,常常在用户注册登录时出现手机号/邮箱注册,这里就可能出现短信&邮件炸漏洞,此类漏洞测试比较方便,虽然有的站点做了防护,但也有一些绕过的办法。

在应用手机号/邮箱和验证码作为用户登录凭证时,一般涉及到的网站功能点主要包括:

随着开发人员安全意识的日益加强,IPS/IDS、WAF、全流量检测等防护设备的不断部署,传统的SQL注入漏洞、命令执行等漏洞正变得越来越少,或者越来越难挖(需要绕过各种防御设备)。但业务逻辑漏洞几乎可以bypass一切传统的安全防护设备,目前还没有非常有效的防御手段。同时,业务逻辑纷繁复杂,再资深的程序员也可能挖坑,所以只要基础扎实,逻辑思维能力强,耐心细心,不放过任何一个步骤,此类漏洞比较容易挖。

一般的修改逻辑为:认证原手机号 – 填写新手机号 – 提交修改

如果在进行下一步操作时,没有校验上一步的认证是否成功时,就会存在逻辑缺陷绕过。比如在第一步认证原手机号时,随意输入验证码,将response包中的相关字段进行修改,比如0改成1,false改成true,即可绕过第一步验证,进入填写新手机号界面,如果第三步提交修改时没有验证第一步的结果,就会造成逻辑漏洞。

部分网站的身份验证放在了前端,因此只需要将response包中的相关字段进行修改,比如0改成1,false改成true,就可以登录任意用户账号。

场景1:遍历ID在一些请求中,GET或POST中有明显的id数字参数(手机号、员工号、账单号、银行卡号、订单号等等),可以尝试进行遍历,如果程序没有对当前权限进行判断,就会存在水平越权问题。

场景2:ID替换如果程序对用户标识进行了hash或者加密,而又无法破解用的什么加密方式的话,就无法通过遍历ID来获取其他用户信息了。此时可以尝试注册两个账号,通过替换两个ID加密后的值,判断程序是否对权限进行了验证,如果没有,也会存在越权问题。

说明,本教程文章仅限用于学习和研究目的,请勿用于非法用途。漏洞挖掘中应遵守SRC中的相关规则。

除了100份src学习文档之外,学习网络安全的小伙伴们,为了帮助到大家,我也整理了一些学习视频、全套工具包、应急响应等包括市面上很全面的资料文档,我这里都有了,需要的关注我,私信回复“资料”获取!!!

3.下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒;

4.不随意打开不明网页链接,尤其是不良网站的链接,陌生人通过QQ给自己传链接时,尽量不要打开;

5.使用网络通信工具时不随便接收陌生人的文件,若接收可取消“隐藏已知文件类型扩展名“功能来查看文件类型;

7.打开移动存储器前先用杀毒软件进行检查,可在移动存储器中建立名为的文件夹(可防U盘病毒启动);

8.需要从互联网等公共网络上下载资料转入内网计算机时,用刻录光盘的方式实现转存;

1.账户和密码尽量不要相同,定期修改密码,增加密码的复杂度,不要直接用生日、电话号码、证件号码等有关个人信息的数字作为密码;

2.密码尽量由大小写字母、数字和其他字符混合组成,适当增加密码的长度并经常更换;

4.在网吧使用电脑前重启机器,警惕输入账号密码时被人偷看;为防账号被侦听,可先输入部分账号名、部分密码,然后再输入剩下的账号名名、密码;

2.使用邮箱地址作为网站注册的用户名时,应设置与原邮箱登录密码不相同的网站密码;

3.要警惕中奖、修改网银密码的通知邮件、短信,不要轻意点击未经核实的陌生链接;

5.当收到邮件、短信、电话等要求到指定的网页修改密码,或通知中奖并要求在领取奖金前先支付税金、邮费等时,务必提高警惕。

6.注意保护个人隐私,直接使用个人的银行账号、密码和证件号码等敏感信息时要慎重;

1.在遇到相关创业、投资项目时,要仔细研究其商业模式。无论打着什么样的旗号,如果其经营的项目并不创造任何财富,却许诺只要交钱入会,会发展人员就能获取“回报”,请提高警惕。

2.克服贪欲,不要幻想“一夜暴富”。如果抱着侥幸心理参与其中,最终只会落得血本无归、倾家荡产,甚至走向犯罪的道路。

1.勿见到免费WI-Fi就使用,要用可靠的WI-Fi接入点,关闭手机和平板电脑等设备的无线网络自动连接功能,仅在需要时开启;

2.警惕公共场所免费的无线信号为不法分子设置的钓鱼陷阱,尤其是一些和公共场所内已开放的WI-Fi同名的信号。在公共场所使用陌生的无线网络时,尽量不要进行与资金有关的银行转账与支付;

3.修改无线路由器默认的管理员用户和密码,将家中无线路由器的密码设置得复杂一些,并采用强密码,最好是字母、数字和特殊符号的组合;

1.为手机设置访问密码是保护手机安全的第一道防线,以防智能手机丢失时,犯罪分子可能会获得通讯录、文件等重要信息并加以利用;

经常查看手机任务管理器,检查是否有恶意程序在后台运行,并定期使用手机安全系统软件扫描手机系统;

无论以何种理由要求你把资金打入陌生人账户、安全账户的行为都是诈骗犯罪。切勿上当受骗!

3.网上中奖诈骗,指犯罪分子利用传播软件随意向互联网QQ用户、邮箱用户、网络游戏用户、淘宝用户等发布中奖提示信息;

4.“网络钓鱼”诈骗,利用欺骗性的电子邮件和伪造的互联网站进行诈骗活动,获取受骗者财务信息进而窃取资金;

3.要注意辨别信息的来源和可靠度,要通过经第三方可信网站认证的网站获取信息;

最后再补充一下,现在国家大力发展网络安全,特别是中小企业特别需要网络安全方面的人才,为什么呢?黑帽黑客大企业不敢渗透,渗透中小企业去了,所以中小企业更需要这方面的人才去防御。

发表评论

您的电子邮箱地址不会被公开。

Previous post 网络安全知识之了解物联网搜索引擎SHODAN
Next post 202223赛季英超联赛BIG6赛程曼城利物浦切尔西阿森纳热刺曼联

Goto Top