网络安全小白众测如何快速发现安全问题思路
在众测项目的时候,发现问题的速度对应这赚钱的速度,这里简单罗列一些众测项目比较容易解决也比较容易发现的问题
目录
- 业务体系
- 电商系统
- 政府系统
- 金融系统
- 教育系统
- 传媒系统
- 对应模块
- 找回密码
- 购物
- 支付
- 订单
- 用户中心
- 修改头像
- 评论区
- 业务测试流程
- 业务测试要点
- 业务-深入测试
- 前端测试
- 登录验证
- 验证码机制
- 越权测试
- 逻辑缺陷绕过
- 支付漏洞
- 用户注册模块
- 漏洞案例分析
- SRC案例-验证码回显
- SRC案例-撞库攻击
- SRC案例-任意手机登录
- SRC案例-任意密码重置
业务体系
首先参与一个众测项目,第一步就是知道这个项目是什么系统,有哪些项目模块,这样才能快速找到自己擅长的模块去进行测试
一般来说是五种业务功能,分别是电商、政府、金融、教育、传媒
电商系统
登录-注册-找回密码-购物-个人中心-订单-公众号-APP
政府系统
端口-子系统-找回密码-个人中心-公众号-APP
金融系统
登录-注册-个人中心-交易-订单-公众号-APP
教育系统
端口-子系统-登录-客户端-公众号
传媒系统
登录-注册-找回密码-个人中心-子系统-端口-公众号-APP
对应模块
找回密码
本地验证
爆破
绕过业务流程
购物
无货是否购买
支付
并发情况
修改价格
修改数量
订单
修改价格(加/减)
商品数量
使用次数
用户中心
个人资料
绑定手机
绑定邮箱
修改密码
修改头像
个性签名
修改头像
绕过本地验证
评论区
恶意刷赞
XSS
越权删除
业务测试流程
根据业务体系制定测试流程
业务测试要点
根据业务体系指定测试要点
业务-深入测试
前端测试
修改返回包参数能够直接绕过前端校验
在用户登录的时候填写错误的密码,抓包修改参数值重放,有时候能直接绕过前端
登录验证
- 弱密码
- 密码错误提示
- 用户错误提示
在测试系统登录功能时,首先直接尝试有没有弱口令。没有的话可以根据后台登录提示,比如提示用户不存在、密码错误等,进行撞库或者爆破。
验证码机制
- 无验证码
- 验证码不变
- 验证码有效期
获取验证码后填写错误验证码,抓包爆破,可以缩小范围去爆破,如正确验证码为123456,Nunbers值设置为100000~200000。厂家也都会收取此类漏洞
越权测试
URL中参数越权
POST数据包中的id、ids、userids越权
在业务体系中,以用户标识去操作的功能都可以假设存在越权。
比如个人资料-购物-订单-收藏-评论-删除-新建等。
逻辑缺陷绕过
在系统中往往有一些信息资料,一旦填写后就不能再次修改,这时要想办法绕过限制修改
如:上传个人信息或资质信息后,前端页面限制了修改操作,可以通过抓包在数据包里修改
漏洞的定义并不局限在危害层面,只要能改变代码层或者机制限制的功能,也属于安全问题
支付漏洞
支付漏洞一般是修改商品金额为负/最大数,商品数量为负/或最大数、无货购买、篡改商品ID实现高价格商品低价买、不同的支付接口金额、优惠券打折、物流快递金额差异等。在支付漏洞这块,只要逻辑思维够清晰,还是能发现安全问题的。
用户注册模块
用户注册模块一直以来也是非常多的,各种姿势技巧绕过。
- 注册时候获取手机验证码后填写错误的验证码提交,看是否能注册成功,比如提交0000或000000,只要验证码框内输入了参数,就能够直接注册成功
- 正常注册流程走一遍,提交注册信息时修改手机号为其他的,发送到Repeater重放,获取返回包修改返回值为True或OK等,重放绕过前端校验,注册成功。
- 注册正常流程走一遍,获取正确的验证码,然后修改手机号,提交注册成功
- 填写手机号码获取验证码,验证码有效期可爆破
- 验证码回显直接注册
漏洞案例分析
SRC案例-验证码回显
验证码直接回显在本地,测试的时候尽量开着审查元素,漏洞往往就会在不经意间出现
测试注册漏洞时开启F12审查元素,发送验证码时观察请求数据包,偶尔会有大惊喜的。
有时候漏洞就是这么简单,只是看细不细心去测试,有没有耐心分析每一个数据包走向。
SRC案例-撞库攻击
撞库攻击攻击成本低、危害大、容易造成连锁反应。登录系统先尝试系统有无验证码或验证码不变,根据是用户登录系统还是管理登录系统攻击,用户系统可假设用户密码为固定值(123456),导入用户名去撞库,一旦撞库成功,找到厂商所以的系统去登录,账号通用越多,危害越大
SRC案例-任意手机登录
问题出现在登录成功后的返回数据包中带有用户的手机号作为标识,也就是说只要正常手机登录一遍获取到登录成功的返回包,然后再返回包中修改手机号码为任意手机号,重放数据包后都能成功登录,测试的时候多分析数据包,每个参数的变化或存在的位置形式都可能造成漏洞的产生。特别是id
SRC案例-任意密码重置
没有检验原始密码是否与当前用户匹配,可能只判断原始密码输入框中无参数值或者根本不判断。这种漏洞出现的几率并不高,但并不代表不存在,测试的时候还是得信息,不要放过每一个细节。
网络安全小白众测如何快速发现安全问题思路相关推荐
- 浅谈众测模式与发展趋势
随着互联网的快速发展,产品的迭代速度越来越快,对于产品的快速交付的要求越来越高.测试作为整个研发生命周期中重要的一环,对产品上线质量起到了不可或缺的作用,而现在传统测试模式面领着很大的挑战,质量提升难 ...
- 银行业内部众测的正确打开姿势
中国银行业数字化转型已经拉开帷幕,是机遇,也是挑战!移动互联网业务是提升端到端市场响应能力的关键渠道,乃兵家必争之地,肩负着银行大零售转型的重要责任. 近几年来,移动应用众测作为一种新型.高效的测试活 ...
- 360众测重装上阵,创新服务模式重塑众测新业态
2020年全球疫情蔓延,越来越多企业转战线上办公,互联网边界进一步拓宽的同时,随之而来的网络威胁也在不断增加. 在网络空间对抗日益军事化的国际形势下,网络安全已上升至国家战略层面.而漏洞是网络安全威胁 ...
- “极盾-2021”众测推荐名录发布,墨云科技荣誉登榜
近期,由中国电子主办,长城网际承办,鹏城实验室.中电智科协办的"深护关基·众测未来--首届工控安全众测推荐名录正式发布,墨云科技凭借高瞻的技术理念与领先的技术实力,荣登此次推荐名录. &qu ...
- 10个企业网络安全建议,解决大部分的网络安全问题
10个企业网络安全建议,解决99%的网络安全问题 互联网时代,企业做好网络安全防护非常重要,一旦网络受到恶意攻击,可能会对企业造成一大笔不必要的经济损失. 那么互联网企业该如何做好网络安全防护呢?小墨 ...
- 云端能力知几许?12人众测华为云企业级Kubernetes集群实力
近年来,云端业务体系不断发展壮大,企业的需求也主要呈现出两个方向,一方面不断增加的数据量要求云端能够实现流量监控和管理:另一方面也需要云端能够便捷的进行容量扩展和业务升级.在这种要求下,容器技术不断发 ...
- 雷神众测开启团队竞赛模式
雷神平台成立至今已有4个月了,雷神(可信)众测也已顺利进行到第8期,在这8期中雷神平台测试的范围涵盖了银行.金融.互联网金融.保险.安全厂商等行业,积累了一定的经验. 团队竞赛模式: 雷神众测决定从第 ...
- 小米一代扫地机器人磨损家具_为了以后的众测 篇二:无差评居家神器——Mi 小米 扫地机器人...
为了以后的众测 篇二:无差评居家神器--Mi 小米 扫地机器人 2017-06-30 11:20:19 64点赞 120收藏 156评论 讲道理,我也没有想到我会买这个扫地机器人. 作为一个标准的懒癌 ...
- 让卫浴间四季花香 最懂你的智能马桶 ——安华智能坐便器aB13017-1众测报告
吴晓波在2015年写的那篇<去日本买只马桶盖>引发社会各界的热议,他大概没想到这会给卫浴行业带来一场"地震",让智能马桶获得广泛的社会关注,突然之间市场上各类产品井喷式 ...
最新文章
- 隐藏数据的好方法----Alternative Data Stream(可选数据流)
- 九度OJ 1028:继续畅通工程 (最小生成树)
- JavaScript对象系统说明图
- js实现算法--割字符串
- Object-c基础(2)
- window下版本控制工具Git 客户端安装
- 王思聪欠款1.5亿成被执行人 孙宇晨:我帮你还钱!
- c 连接oracle 通用类,c#操作oracle,有没有相仿sqlhelp之类的通用操作类(6)
- js html 处理json数据,JS中Json数据的处理和解析JSON数据的方法详解
- 华硕微型计算机配置数据,“智能”显卡 华硕ROG Matrix显卡赏析
- [转]Android编程之BitmapFactory.decodeResource加载图片缩小的原因及解决方法
- 12.allegro环境设置[原创]
- python cad模块_Python cad包_程序模块 - PyPI - Python中文网
- 仿花瓣网html模板,仿花瓣网瀑布流实例最流行瀑布流图片无限加载展示
- python语法错误检查_如何检查python的语法正确性
- 【软考软件评测师】第三十三章 数据库系统应用
- Android调用系统相机拍照
- Airpods连接到windows10没有声音(其他办法都试过最后这样才行)
- windows10批量修改文件后缀名
- 视频监控系统由哪几部分组成?(视频监控入门基础-附思维导图)