「WEB攻防」关于SRC漏洞挖掘的经验

交流学习Q群：876554035

前言

国家在注重安全行业，越来越多的SRC(安全响应中心)成立。在各大平台，比如漏洞盒子，补天，360众测等等都纷纷成立了安全响应中心，许多的企业在上面入驻，给白帽子们提供了一个很好的平台，避免了黑客利用漏洞而造成损失。

一． 资产收集

在挖掘SRC中，我们首先要做的就是确认资产。通常情况下，企业SRC会在项目里给出域名或者域名的范围。我们可以利用一些工具来收集子域名，扩大挖掘的范围。范围越大，挖到漏洞的几率也就越高。

① 利用搜索引擎整理，再进行常规资产收集

② 基本的资产收集方式有：子域名枚举，端口信息收集，路径扫描，旁站C段查询。

●子域名爆破：

layer子域名挖掘、subdomainsBurte等

●端口信息收集：

Nmap

●路径扫描：

Dirsearch，御剑

●旁站C段查询

在线旁站C段查询：www.webscan.cc、www.5kik.com、phpinfo.me

二． 信息泄露

●敏感目录/文件

●网页源码/js/json泄漏敏感接口

三． 越权

●改识别用户参数

●改cookie

●越权访问

●登陆后，修改密码 未校验id与用户 修改id 即可该其他人密码

●修改个人数据时 页面源代码有用户标识符id 抓包修改或添加id

●直接访问后台链接禁用js则不会跳转登录界面，直接登陆

●登陆分为账号和游客登陆，游客功能有限，app端只前端检测，模拟发包即可

●越权订单查看打印下载、越权操作他人收货地址、增删改查等。

四． 逻辑漏洞

任意用户注册、密码重置、密码找回

●手机号、验证码、用户未统一验证问题

●未对原绑定手机号、验证码、用户未统一验证，或验证码未绑定 只验证验证码正确，没判断用户id 或手机号，修改想改的id 正确手机验证码即可

●支付逻辑漏洞

五． 爆破、枚举

●撞库，登陆时无验证码且可无限被尝试，用户名验证时有无用户名错误回显、密码可被爆破

●无验证码，验证码不刷新，验证码4位过于简单无尝试次数限制可被爆破

●枚举注册用户：输入用户名，发送请求验证用户名是否正确(若返回次数限制,可测试服务端未限制高频访问)

●登陆失败有次数限制,若包中有限制参数可更改或删除参数

●邮箱轰炸，短信轰炸，burp Repeate，短信轰炸验证码有60或者120秒限制时，有的参数修改后可绕过

总结

在漏洞挖掘的过程中需要仔细去寻找，判断，多去测试参数。这方面的逻辑漏洞比较的多，需要慢慢的累积经验。