本文出自社区攻防尝试室 惘囚-
网站登岸功用是重要的一个点,前提允许的情况下能够停止详细的测试。
次要利用东西:burpsuite
一些测试要点:
1.用户名/账号能否能够列举
2.密码能否能够爆破
3.能否存在弱口令
4.有无验证码&验证码能否能够绕过
5.能否存在注册功用
6.能否存在密码找回功用
7.能否存在修改密码功用
8.......
申明:
1.用户名/账号能否能够列举,那个就按照网站的详细类型来判断那个点能否有用。好比学校网站。某学校网站登录入口,可能是收集接入入口,或者藏书楼,学生信息系统等,如许的网站登录账户命一般就是学生的学号,身份证号后六位,那些信息由信息搜集获得。
2.密码能否能够把爆破,那个点就很曲不雅,最抱负的情况就是目的网站登录入口没有验证码,没有登岸次数限造,网站没有waf等防护东西,或者防护规则没有防爆破,那种情况下,能够间接去爆破,爆破也是需要按照详细情况来,并非无脑上字典。按照网站类型,对搜集到的一些人员信息当成字典。
3.弱口令,很间接,除了常规能想到的admin/admin,admin/123456等,还可能有姓名全拼,网站名称缩写等,需要按照情况灵敏测试。
4.有一些网站登录入口的验证码不会刷新或者只是一张图片什么的,验证码根本属于无效,如许就能够爆破。当然一般的验证码用python也能够识别绕过,但是目前还不会,应该也挺费事的,暂时不考虑。
5.注册功用存在的话能够本身注册一个测试账户,登岸进去看看有哪些功用,例若有上传头像的话能够测验考试间接上传webshell。同时还能够测试能否存在越权。
6.密码找回功用能够在确认某一个账户名的时候利用,抓包看恳求包和返回包,在极度抱负的情况下能够通过修改返回包到达肆意密码重置的效果。也能够共同越权利用,存在注册功用的话能够利用注册的测试账户,察看恳求包返回包,测试能否能够操纵越权重启其他用户的密码。
7.修改密码根本和密码找回差不多,不再多说。
以上为逻辑方面的测试要点,当然在网站登录入口还会有其他破绽:
1.全能密码
2.注入
那里的注入大部门情况为post注入,详细按照现实情况测试,有一些还会有update注入,那是曾经碰到过的。
目前想到的就那么多,本文只记录一些思绪,没有详细的手艺申明……