网站登陆入口测试方法分享

3个月前 (01-06 15:27)阅读2回复0
zaibaike
zaibaike
  • 管理员
  • 注册排名1
  • 经验值225665
  • 级别管理员
  • 主题45133
  • 回复0
楼主

本文出自社区攻防尝试室 惘囚-

网站登岸功用是重要的一个点,前提允许的情况下能够停止详细的测试。

次要利用东西:burpsuite

一些测试要点:

1.用户名/账号能否能够列举

2.密码能否能够爆破

3.能否存在弱口令

4.有无验证码&验证码能否能够绕过

5.能否存在注册功用

6.能否存在密码找回功用

7.能否存在修改密码功用

8.......

申明:

1.用户名/账号能否能够列举,那个就按照网站的详细类型来判断那个点能否有用。好比学校网站。某学校网站登录入口,可能是收集接入入口,或者藏书楼,学生信息系统等,如许的网站登录账户命一般就是学生的学号,身份证号后六位,那些信息由信息搜集获得。

2.密码能否能够把爆破,那个点就很曲不雅,最抱负的情况就是目的网站登录入口没有验证码,没有登岸次数限造,网站没有waf等防护东西,或者防护规则没有防爆破,那种情况下,能够间接去爆破,爆破也是需要按照详细情况来,并非无脑上字典。按照网站类型,对搜集到的一些人员信息当成字典。

3.弱口令,很间接,除了常规能想到的admin/admin,admin/123456等,还可能有姓名全拼,网站名称缩写等,需要按照情况灵敏测试。

4.有一些网站登录入口的验证码不会刷新或者只是一张图片什么的,验证码根本属于无效,如许就能够爆破。当然一般的验证码用python也能够识别绕过,但是目前还不会,应该也挺费事的,暂时不考虑。

5.注册功用存在的话能够本身注册一个测试账户,登岸进去看看有哪些功用,例若有上传头像的话能够测验考试间接上传webshell。同时还能够测试能否存在越权。

6.密码找回功用能够在确认某一个账户名的时候利用,抓包看恳求包和返回包,在极度抱负的情况下能够通过修改返回包到达肆意密码重置的效果。也能够共同越权利用,存在注册功用的话能够利用注册的测试账户,察看恳求包返回包,测试能否能够操纵越权重启其他用户的密码。

7.修改密码根本和密码找回差不多,不再多说。

以上为逻辑方面的测试要点,当然在网站登录入口还会有其他破绽:

1.全能密码

2.注入

那里的注入大部门情况为post注入,详细按照现实情况测试,有一些还会有update注入,那是曾经碰到过的。

目前想到的就那么多,本文只记录一些思绪,没有详细的手艺申明……

0
回帖

网站登陆入口测试方法分享 期待您的回复!

取消