从甲方离职到现在差不多近3个月了 错过了不少机会,也赚到了不少钱,平均算下来大概每月1W+吧,收获了许多,但是对于工作从来都是抱着敬畏之心去,依稀记得去了上海和杭州二面,只带着一家的面试去的,hr得知后都说我傻,其实我觉得对于每一份机会都要珍惜。
说实话与去年的状态相比,感觉自己学习的速度明显下降了,钱是个好东西,但是千万别多,以前没钱穷的时候其他人找出去,没钱在家宅着,现在有钱了就有应酬,人际交往,在我心中最好的状态莫过于没钱的时候,在家才能学到更多东西。
废话不多说,前一阵去杭州甲方的一家面试,面试官更多的问的是技术的广度,而不是技术的深度,这点甲方与乙方应该不同吧。下面开始总结最近挖src一些小套路及着重点。
1 sql注入
这个频率呢现在在waf,过滤,及参数化查询的普及的情况下。个人觉得很少出现了,但是每一个厂商依然存在sql注入。只不过有注入是一回事,能过waf又是另外一回事。 自己原理了解,但是如果让我去深入就困难了。毕竟牵扯到对数据库特性的了解,可能是我误解了,想着数据库那么多要学好久,其实先挑普及性比较广的看一看。有机会着重去看一看mysql,sqlserver的特性。大厂注入还没挖过,很遗憾。
2 xss
这个就比较多了,在各大厂商挖的都有,这个对于sql注入来说相对难度比较低,xss无非就是存储,domxss,反射型。在我理解domxss可能算是反射型的分支。概念这种东西看看就好。而一般反射xss相对于存储xss应该低一些。因为反射xss大部分扫描器能扫到吧233333。
"> ' \u0022\u003E这个是常用的套路,看看有没有侧漏,或者存在输入转义输出转义回来的可能性。 还有一些浏览器特性的。
<img/src=="x onerror=alert(1)//">上面这个是余弦大佬测试出来的畸形xss。某宝的ks编辑器部分存在这一问题~~
还有些payload常用的就贴在下面链接上了
总之还是那句话,见缝就插
3 逻辑
这一块比较多233 打字太累都不想写
记得以前总结过一个文档,不知道丢哪里去了。在甲方呆了大概9个月多,个人认为逻辑漏洞是最tm多的。
支付:体现负数,提现未效验金额与订单相等,并发体现(这个重点,一般测试经常会忽略这块)。订单一正一负,balabala一大堆。
密码: 找回密码跳过步骤,返回包带有验证码,双开,前端效验状态,恶意注册等等
越权:平行越权,垂直越权
验证码:这块是最恐怖的,用谷歌orc 90%识别出来的才是最恐怖的,某旅游平台有些旧系统还是这样。还有打码平台,更有甚者你会发现验证码复用,上一家公司的验证码居然在cookie里(吐槽下!!!!),短信轰炸等等。
还有各种逻辑,基本上每一个厂商都无可避免,而且逻辑漏洞waf防护很艰难。
4 撞库
这个算是逻辑里验证码这块有一部分,为什么单独拿出来呢,撞库对于小厂商来说危害不是特别大,但是对于用户群多的厂商来说很恐怖。数字售票平台泄露出的裤子能撞好多的说。最起码at有过例子~~~
5 csrf
其实这个也比较多,但是相对于危害比较小了(不对,对于我们认知里比较小,但是对于黑产或者传说中的apt 水坑不敢想象),但是效验refer或者csrftoken会防护,推荐还是csrftoken,有些地方吧不光有csrf还有xss~~~~。
6 信息泄露
这个也很多有越权导致的信息泄露,有部分浏览器上传访问地址导致的未授权访问,还有github上,记得前几天某物流平台的一个站的源码都在git上。恐怖恐怖。
7 jsonp劫持
程序猿才是最大的黑客,自己发明出来获取json数据的方法~~~
<html>
<title>jsonp</title>
<head>
</head>
<script>
function searchJsonCallback(json){
alert(JSON.stringify(json))
}
</script>
<script src="http://cgi.music.soso.com/fcgi-bin/fcg_search_xmldata.q?source=10&w=test"></script>
</html>搜搜一处jsonp 但是没有危害 获取的是searchJsonCallback的数据
8 url跳转
这个不多说 钓鱼利用的多 还有一个是利用跳转子窗口去控制父窗口的例子 做钓鱼比较好玩~~~
下面是poc localaction可以替换成钓鱼地址
<html>
<title>test target</title>
<body>
<script type="text/javascript">
if(window.opener){
window.opener.location = "data:text/html;base64,PHNjcmlwdD5hbGVydCgveHNzLyk8L3NjcmlwdD4="+document.referrer;
alert("attack hack");
}else{
alert("scurity");
}
</script>
</body>
</html>9 弱口令
这块可以算在验证码那里 ,不多说。
10 任意文件下载
感觉和越权差不多 ../../etc/passwd~~~~~
11 命令执行
很少了,但是有些地方 诶。
12 ssrf
这个也是懂原理,没挖过,服务端发起的请求 balabala.
13 xxe
这块不熟,记得被漏洞盒子的人问的时候没答上来~~~~ 。只晓得xml请求中过滤不严,没挖过啊~~~~
14 上传怎么忘了说了呢
遇到的都是白名单机制,除了配合旧版的apache iis tomcat解析漏洞,恐怕难啊,但是用到相对于安全体系差的地方,这块经常被人搞。
暂时就这么些了 ~~ 应该算是自己挖src经常光顾的洞,很佩服有些人,能猜出来账号密码。
半个月不挖洞了 有些生疏了 ,最近在学java。和python 简直~~~~~~~~太严谨了。
如果有哪位大佬看上了,觉得缺人的,(甲方乙方都行,够吃住+一点零花钱就够了23333333333)
