企业官网建设流程全解析

深圳做网站推广哪家好,厦门建设管理局网站首页,网络营销的五大优势,做黑网站赚钱吗本文仅供学习参考#xff0c;如任何人利用文中手段进行非法攻击与本人无关 红队企业信息收集 信息收集 1#xff09;红队与企业的区别 权限范围#xff1a;红队可以对100%控股的子公司进行横向渗透#xff0c;而企业SRC通常只针对主公司 目标差异#xff1a;红队主要目标是…本文仅供学习参考如任何人利用文中手段进行非法攻击与本人无关红队企业信息收集信息收集1红队与企业的区别权限范围红队可以对100%控股的子公司进行横向渗透而企业SRC通常只针对主公司目标差异红队主要目标是获取shell权限企业SRC则以漏洞挖掘为主信息提供红队通常只给公司名称企业SRC会提供更详细的资产信息2企业查询主要工具使用爱企查等企业信息平台查询目标公司关键信息域名信息如ebchina.com子公司股权结构备案信息查询技巧通过100%控股子公司寻找薄弱资产3网络空间搜索猎鹰企业查询语法使用domainbaidu.com或domain.suffixbaidu.com备案筛选可选择只查看该企业过滤无关结果注意事项部分灰黑产网站会使用相似域名进行伪装站长之家备案查询可查找到同一公司备案的多个域名SEO信息获取网站权重、收录情况等技术指标域名年龄可查看域名注册时间和过期时间外部资产logo识别通过网站图标MD5值(web.icon“54321f7ed27d39375d1e589527efo1cc”)搜索相关资产供应链系统护网中只要包含公司数据的供应链系统都算有效资产资产C段扫描通过IP后两位变化识别边缘资产工具选择IP收集推荐使用FOFA子域名收集推荐使用Hunter护网资产数据归属只要系统包含目标公司数据都算作有效资产分框架识别通过URL特征快速识别系统框架如本例中的洛易框架子公司资产查询方法通过股权穿透图查找100%控股子公司资产关联子公司域名可能不同但备案主体相同备案企业备案验证不同域名但备案企业相同可确认资产归属系统复用相同系统在不同子公司部署也是常见现象网络华为信安IP搜索FOFA更适合IP段扫描域名搜索Hunter更适合子域名收集应用案例例题:子公司资产查询题目解析通过微信搜一搜查找公司小程序在爱企查中查询100%控股子公司验证子公司域名备案信息例题:集团公司资产查询题目解析通过企业名称直接搜索分析小程序等移动端资产验证集团下属各公司关系技巧冷门工具微步在线等工具可补充查询但免费版有次数限制多源验证百度等常规搜索引擎可作为辅助验证手段经验法则C段扫描时注意IP后两位变化可能指示新资产攻击面管理平台1.查询企业信息查询方式可以通过企业名称直接搜索类似爱企查等企业信息查询平台操作步骤在攻击面管理平台输入企业名称即可查询相关信息2. 系统与证书验证证书验证通过查看系统证书可以确认企业归属证书信息是最直接的验证方式系统筛选需要使用筛选功能区分相似系统确保找到目标企业的真实系统3. 域名与APP筛查筛查范围包括企业域名、APP、公众号等数字资产筛查要点需要仔细筛选区分相似但不完全相同的资产4. 邮箱的作用钓鱼攻击收集到的企业邮箱可用于发送钓鱼邮件多途径利用可以通过手机邮箱等多种方式发送钓鱼邮件5. 源码泄露与审计审计机会如果发现企业源码泄露可以进行代码审计随机性能否发现泄露源码具有一定运气成分6. 人员信息收集爬虫收集可以使用爬虫技术收集企业人员姓名信息信息转换将中文姓名转换为拼音形式便于后续利用7. 名字爬取与爆破爆破技术将收集到的姓名转换为拼音后可用于系统口令爆破工具使用可以使用文字转拼音工具快速完成姓名转换8. 工具使用与子域名爆破推荐工具OneForAll功能强大的子域收集工具水泽GitHub开源子域名爆破工具Nemo综合性的资产收集工具灯塔魔改版增强版资产探测工具使用方法工具通常提供详细说明文档按照文档操作即可子域名工具灯塔系统安装与使用系统安装要求操作系统支持Windows/Linux推荐使用Linux服务器需预装Docker和docker-compose环境配置要求探测过程会产生大量发包建议使用独立服务器1Docker环境安装Ubuntu安装直接执行apt-get install docker.io docker-composeCentOS 7安装其他系统参考官方文档https://docs.docker.com/engine/install/2ARL安装与启动安装步骤创建目录mkdir docker_arl下载安装包wget https://github.com/TophantTechnology/ARL/releases/download/docker_2.5.4.2/docker_arl.zip解压并启动3版本选择建议版本区别原版持续更新新增漏洞扫描功能魔改版(ARL-plus-docker)集成爆破工具但停止更新推荐使用原版以获得最新功能支持4相关工具推荐子域名收集OneForAllhttps://github.com/shmilylty/OneForAll水泽(ShuiZe)https://github.com/0x727/ShuiZe_0x727其他工具Nemohttps://github.com/hanc00l/nemo_goEnscanhttps://github.com/wgpsec/ENScan_GO指纹识别https://github.com/redtoolskobe/scaninfo5系统更新方法原版更新进入arl/docker目录删除旧容器数据保存在volume中不受影响执行docker-compose down后重新拉取新版本魔改版更新到项目路径下执行git pull重新启动docker-compose up -d2. 任务管理1漏扫工具使用技巧漏扫工具特点可以直接丢入玉米目标进行扫描生成大字典进行全端口扫描操作流程选择目标后直接丢入工具工具会自动生成扫描字典可进行全端口扫描等待扫描完成即可获取结果2指纹识别方法指纹识别必要性可识别目标使用的通用系统如OA系统国外目标可能指纹较少国内目标指纹特征更明显操作技巧使用nd1工具进行快速打击可导出子域名进行进一步分析配合专用工具如隐私感进行信息收集3信息收集工具enscan隐私感工具专用信息收集工具需要预先配置爱起茶cookie阿拉丁token配置方法使用杠v参数生成配置文件通过抓包获取cookie信息将cookie填入配置文件功能特点可一键收集控股公司信息支持企业关联查询4子域名爆破工具选择安特尔推荐其他子域名爆破工具可能占用内存较大注意事项全速扫描可能导致断网建议在服务器环境运行可设置并发数为50以降低影响5敏感信息收集方法GitHub搜索搜索技巧使用edu.cn等特定域名关键词组合“密码”“edu.cn”“user”“/pass”添加#号搜索注释内容绕过GitHub限制使用谷歌搜索site:github.com关键词使用特定语法组合网盘搜索推荐工具凌风云搜索技巧企业名称关键词如员工、“内部”筛选特定文件格式注意甄别EXE文件安全性语雀搜索搜索方法直接搜索企业名称/域名关键词组合“VPN”“堡垒机”“AK/sk”典型发现运维文档中的账号密码测试系统登录信息内部系统配置详情短视频平台搜索操作技巧搜索商家登录教程等关键词逐帧查看密码输入过程注意测试系统与正式系统的关联性典型案例美团开店宝账号泄露腾讯云后台演示视频各类管理系统默认密码6实战技巧总结信息收集流程收集主域名和子域名进行指纹识别使用漏扫工具扫描手动验证漏洞注意事项SRC与红队收集方法相似但目标不同敏感信息需谨慎处理测试系统漏洞可延伸至正式系统网络安全资产收集方法无备案IP资产收集全端口爆破针对只有IP没有备案的目标资产首先必须进行全端口爆破扫描目录扫描爆破完成后需扫描可能隐藏系统的目录路径C段扫描通过IP的C段扫描方法寻找关联资产特别是政务网环境资产识别技巧logo识别通过页面logo或图标识别系统类型如锐捷路由器、海康威视监控等指纹识别搜索特定设备的指纹特征如工控系统、园区管理系统等标题检索使用公司名称或缩写作为关键词检索页面body内容政务网资产特点网络特性政务网IP的C段通常都是政务网资产具有高度关联性内网互通多数政务网内部互通除非省级有特殊隔离规定DNS查询进入内网后可通过DNS查询确定所属单位特殊资产类型处理工控系统通常不会部署在外网但可能包含摄像头等物联网设备小程序资产部分小程序可能直接使用IP而非域名通用系统如监控设备可直接搜索C段或政务网时段测试环境注意事项漏洞利用测试环境发现的漏洞必须写入报告不能留到下次测试数据安全不下载敏感数据可降低被发现风险接口测试测试环境接口可能在正式环境同样存在资产搜索工具方法精准搜索子域名推荐使用汉特(Hunter)等工具模糊搜索使用百度等搜索引擎通过公司名/缩写查找耐心要求模糊搜索需要较大耐心和技巧绕口令漏洞挖掘价值说明绕口令漏洞可能包含重要数据在护网行动中价值较高实例分享vivo绕口令漏洞可直接获取400元奖励数据分类部分绕口令漏洞会包含大量分类数据弱口令字典介绍1字典内容概述项目结构包含apiDict、ctfDict、directoryDicts等多个分类字典目录更新记录新增百家姓top3000拼音字典去重后188条合并常用手机号码top300字典添加CentOS和AIX主机/etc/目录文件列表更新webshell密码字典makoto56加强版2用户名字典组成内容国内拼音组合用户名字典青年安全圈ID黑名单2018-2020常用用户名top500列表特点数据来源包括GitHub项目Security-Data-Analysis-and-Visualization分离了ID、博客名、GitHub三个字段3密码字典主要内容top19576常用密码某集团弱口令字典互联网设备默认弱口令使用建议遇到不知名设备时可优先尝试默认弱口令配合用户名字典使用效果更佳4专项测试字典XSS字典包含burp官方210条payload新增100条payload存放路径easyXssPayload/burpXssPayload.txt手机号字典测试用手机号码合集包含top300常用号码文件路径userNameDict/test-phone.txt5字典维护说明更新频率由于作者毕业在即更新频率会降低协作方式欢迎其他安全爱好者一起维护项目地址GitHub上的fuzzDicts项目文件说明中文姓名字典包含简写和全拼两种形式特殊系统文件列表存放在特定目录常见系统弱口令1XXL-JOB任务调度中心默认凭证账号admin密码123456或P88w0rd风险登录后可反弹shell直接接管集群目录特点通常不会直接显示在首页需要通过目录扫描发现2K8S控制台默认凭证账号admin密码P88w0rd或admin123特点图形化管理系统默认K8S无图形界面风险可直接接管整个集群3Zabbix系统监控默认凭证账号admin密码zabbix常见场景经常出现在众测和护网中漏洞风险存在多个已知漏洞4Grafana漏洞环境搭建Grafana文件读取漏洞漏洞编号CVE-2021-43798利用方式通过插件路径遍历读取文件字典列表包含多个插件路径如/public/plugins/alertGroups/等修复建议升级到最新版本5Nacos系统监控默认凭证账号nacos密码nacos常见场景内网常见系统其他漏洞存在未授权添加用户等漏洞6Apache Tomcat默认凭证账号admin/tomcat密码admin/tomcat爆破技巧认证字段为Authorization: Basic base64(用户名:密码)爆破时需关闭URL编码避免等号被编码通过返回状态码判断爆破结果7ActiveMQ组件默认凭证账号admin密码admin8RabbitMQ默认凭证账号admin/guest密码admin/guest特点支持匿名访问9Druid组件默认凭证账号admin密码123456常见框架常与若依系统、Spring Boot一起出现未授权访问直接访问监控目录可进入界面9若依系统默认凭证admin密码admin123弱口令爆破思路四种爆破方式用户名固定admin爆破密码密码固定123456爆破账号先枚举有效用户再爆破密码国内系统常用账号字典admin/root/administrator等手机号爆破使用test-phone.txt字典枚举有效手机号响应差异有回显先爆破有效账号再爆破密码无回显固定密码爆破账号或通过响应时间差异判断应用案例1例题弱口令爆破尝试目标选择选择国外系统进行测试避免国内系统备案问题搜索技巧使用FOFA搜索语法body“登系” countryUS定位目标结果分析获得25,503条独立IP4,503条智能去重后的结果工具使用通过Metabase平台进行数据分析显示年内数据注意事项国外系统连接较慢可能需要使用代理国内备案系统风险较高应避免测试连接问题遇到您的连接不是私密连接警告证书问题服务器证书无效可能是配置错误或被拦截2例题弱口令登录尝试框架识别发现使用ThinkPHP框架的系统备案检查首先检查系统是否有备案国内备案系统风险较高测试方法即使发现是国内系统仍可进行测试验证测试步骤尝试常见用户名如admin测试手机号格式账号观察系统响应判断有效性响应分析用户不存在提示可用于枚举有效用户错误代码100表示账户不存在返回格式为JSON{‘error_code’:100,‘msg’:‘账户不存在’,‘token’:false}字典选择初始字典效果不佳时更换常用字典注意中国系统使用xss插件可能导致速度变慢结果判断零返回值不一定是登录成功主要观察系统返回的错误格式和代码格式错误与用户不存在是不同的响应类型ThinkPHP框架介绍核心版本: ThinkPHP V5.1.41 LTS长期支持版设计定位: 专为API开发设计的高性能PHP框架版本特性:提供十年维护周期字幕提及十年一为AP开常设计优化了搜索性能字幕提及boosted search speed环境变量配置关键变量:IP_CLCELL: 客户端IP检测标识TP_ACCEPT_LANGUAGE: 多语言支持配置字幕显示th-Cs, th :g-2.?SEC_FETCH_SITE: 跨域请求安全控制配置注意: 需检查qpa-version扩展兼容性PPT显示版本4.3.12. 新功能特性核心改进:支持在压缩文件中单行匹配搜索结果字幕强调View all matches in a line提升模板引擎解析效率PPT显示Highlights from the Chrome 118 update问题修复:解决FLEX_FELFLX布局兼容性问题优化PATH路径处理逻辑PPT出现多次FaTH 新功能问题提示3. 常量定义规范系统常量:LE3_PAT: 路径基准常量PPT显示po’ereilotiauliErargtCRTDAO_JaNI: 数据库连接标识开发建议:常量命名需遵循大写下划线规范避免直接修改核心常量字幕提及师傅能一一把说我看一下的检查请求版本号红问题高危警告该版本号4.9.144存在严重安全漏洞极易被攻击者利用典型表现系统报错显示控制器不存在错误app\mobile\controller\Lo1环境特征常见于HTTP/1.1环境伴随Transfer-Encoding: chunked等异常响应头验证方法通过FOFA引擎搜索body“默号丁机号”countryUS可发现大量暴露实例攻击特征常出现Cloudflare等CDN特征Server: cloudflare风险等级京公网备案系统也受影响备案号11010102005893号四、系统防护建议调试关键需重点检查Module.php第95行控制器加载逻辑调用链分析Module.php触发异常Dispatch.php处理失败App.php第412行路由解析错误内存特征异常时内存显示为2{20}~2{30}区间值检测要点Accept头异常包含test/sbal等非常规MIME类型存在伪造语言头zh-CN,zh;q0.9携带base64编码参数login_pwd12345o防御方案升级至安全版本建议≥5.1.0过滤非常规Content-Type禁用chunked传输编码信息收集技术FOFA搜索引擎使用语法结构body“手机号” country“US” 表示搜索美国地区包含手机号的网页数据限制会员支持显示一年内数据点击all查看所有结果典型应用共找到5,600,530条匹配结果实际显示139,551条2. 字典生成技术推荐工具瞎子编写的字典生成插件生成依据姓名、手机号等敏感信息可自定义生成规则应用场景结合第一节课的信息收集内容使用3. 实战案例演示示例特征HTTP/1.1 200响应Cloudflare网络服务ASN 13335包含特定HTML结构识别要点注意响应头中的Server字段观察Transfer-Encoding等协议特征4. 常见错误排查典型错误控制器不存在app\mobile\controller\Lo1调试方法检查调用堆栈Call stack验证环境变量Environment Variables查看请求数据Request Data5. 网络协议分析关键字段Connection: closeTransfer-Encoding: chunkedContent-Type: text/html; charsetutf-8安全标识CF-Ray追踪码服务器时间戳Date字段菠菜公司示例菠菜公司示例弱口令爆破1验证码复用漏洞漏洞特征: 验证码可以重复使用系统未设置失效机制利用方法: 获取有效验证码后可在多次爆破尝试中重复使用实例演示: 使用test123/123456组合成功爆破出未激活账号2信息收集方法企查查查询: 获取公司全称、联系电话等基本信息公众号采集: 通过文章底部收集小编联系方式数据组合: 将收集的电话、QQ、姓名拼音等组合生成字典3爆破实战过程字典构建: 包含常用密码(如123456)、姓名全拼/简写、TOP300姓氏爆破策略:先固定账号爆破密码再固定密码爆破账号结果分析: 成功爆破出多个未激活账号验证系统脆弱性弱口令爆破思路总结1常见爆破策略固定账号法: 针对admin/root等常见管理员账号爆破密码固定密码法: 使用123456/000000等弱密码爆破账号枚举用户法: 当系统存在用户回显差异时可先枚举有效用户2行业特定字典教育系统: teacher/student学号密码常用身份证后六位企业系统:员工工号(需分析编号规则)姓名拼音组合(全拼简写)IoT设备: admin/admin123等厂商默认凭证3加密处理应对逆向分析: 通过JS代码查找加密函数AI辅助: 将加密代码提交GPT等工具分析变通方案: 当密码加密时固定加密密码爆破用户名4实战经验总结信息深度挖掘: 学号/工号等编号规则往往成为突破口验证码处理: 注意观察是否可复用或存在逻辑缺陷权限利用: 即使测试账号也可测试系统功能漏洞高危提醒: 护网行动中弱口令漏洞占比极高需重点检测字典优化: 推荐使用插件生成包含姓名、日期、特殊组合的复合字典系统识别方法国外系统的识别特征不适用性国外系统通常不符合中文姓名的处理需求识别难点需要特殊框架来处理中文特有的需求洛伊系统的典型特征界面识别UI特点具有独特的界面设计风格老版本特征明显视觉标识绿色图标是洛伊系统的显著标志快速识别经验丰富者可以一看就知道无需深入检查登录配置默认设置系统常保留默认账号密码安全问题后台配置文件未修改会导致直接暴露登录凭证二次开发系统可能经过二次开发二开框架识别技术后续内容常用框架识别方法将在后续课程中详细讲解API漏洞找不到特定路由时可能涉及API接口漏洞问题实践技巧经验积累通过多次实践“挖多了”可以培养快速识别能力版本判断通过UI界面可以判断系统的大致版本条件竞争 并发并发漏洞1并发漏洞的定义与原理定义发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中核心原理利用时间差当大量数据包在同一时间或极短时间内发送到后端时数据库判断会出现错误典型场景共享资源未加锁关键操作未同步竞态条件未处理2并发漏洞在签到功能中的应用操作流程发送签到数据包后端接收数据包数据库判断今日是否已签到返回响应包漏洞触发判断机制数据库通过SQL语句检查签到记录漏洞成因同一时间大量请求导致数据库判断失效结果所有请求都被判定为未签到造成重复签到关键特征功能限制为每天/每人只能操作一次后端缺乏原子性操作或锁机制3并发漏洞在点赞功能中的应用相似流程发送点赞数据包后端接收数据包数据库判断是否已点赞返回响应包漏洞表现同一时间发送多个点赞请求数据库查询不到点赞记录导致多次点赞成功防御缺失未使用事务处理缺乏分布式锁未实现幂等性设计turbo-intruder工具1工具介绍功能特点支持发送大量HTTP请求可分析请求结果适用于内存消耗大的多日攻击支持无头(headless)模式运行项目地址https://github.com/portswigger/turbo-intruder2插件下载与安装官方渠道Burp Suite的BApp Store中搜索turbo-intruder直接下载编译好的jar文件(非源代码)手动安装访问GitHub发布页下载最新release版本(如1.2.0)在Burp中导入jar文件3插件版本与更新最新版本1.2.0(预发布版)常见问题版本兼容性提示(即使最新版也可能显示)建议直接从GitHub下载而非BApp Store版本对比1.0.19稳定版本1.2.0新增功能但可能不稳定4使用教程操作步骤捕获目标请求包右键选择Send to turbo intruder界面会显示请求数据和脚本编辑区关键区域请求编辑区修改请求参数脚本选择区选择攻击脚本结果展示区查看响应数据5并发脚本选择推荐脚本race.py(专为并发测试设计)其他脚本用途大批量爆破(但易触发IP封锁)参数模糊测试速率限制测试脚本位置examples/目录下6脚本配置与参数设置核心参数并发次数默认30次(可调整)请求间隔控制请求发送频率超时设置决定等待响应时间注意事项高并发可能导致服务不可用需要根据目标承受能力调整参数建议在测试环境先验证效果抓包测试示例1并发漏洞测试方法测试步骤通过抓包工具捕获点赞请求数据包确认目标数据包后选择User-Agent头部进行修改使用并发工具发送修改后的请求验证方法观察点赞数量变化如果存在并发漏洞点赞数会异常增加原始点赞数为46测试后若变为47则说明漏洞已被修复2并发测试操作演示关键操作在抓包工具中选择目标请求配置并发攻击参数重点修改User-Agent启动并发测试并观察响应注意事项测试时需注意服务器可能存在的防护机制大量并发请求可能导致账号被封禁3测试结果分析结果判断通过对比测试前后点赞数量的变化验证漏洞存在性本案例中点赞数仅增加1说明系统已修复并发漏洞失败处理当测试不成功时应检查请求参数是否正确确认测试环境是否被限制如IP封禁、账号限制等并发存在的地方1签到领积分突破限制原理通过并发请求可以突破系统每天只能签到一次的限制典型案例积分商城系统测试方法使用Turbo Intruder等工具同时发送多个签到请求2领优惠券正常限制通常用户只能领取一张优惠券并发效果通过并发可以领取多张优惠券业务影响可能导致优惠券被大量领取影响营销活动效果3使用优惠券应用场景下单时选择优惠券测试方法在提交订单时并发请求验证标准如果生成多个订单且都使用了优惠券则漏洞存在4取消订单退还优惠券业务逻辑取消订单后优惠券应退回漏洞表现并发取消可能退回多张优惠券实际案例外卖平台曾出现此类漏洞5提现测试点在确认提现时进行并发测试风险等级高危直接涉及资金操作6开发票漏洞影响特别是增值税专用发票可能被用于虚假报销测试方法并发开票请求检查发票编号是否唯一7点赞与取消点赞点赞漏洞可能导致点赞数异常增加取消点赞可能将点赞数刷为负数业务影响影响内容热度算法和排名8关注与取消关注关注漏洞可刷粉丝数量取消关注可能导致粉丝数异常减少典型案例社交媒体平台的粉丝数操纵9收藏与取消收藏计数机制类似点赞功能影响内容热度应用场景抖音等短视频平台的收藏功能10积分兑换测试方法在积分不足时并发兑换请求验证标准生成多个兑换订单即存在漏洞典型案例中国移动积分商城兑换商品11领取试用会员正常限制每个用户只能领取一次试用会员漏洞表现通过并发可获取多次试用权限12抽奖突破原理绕过抽奖次数限制测试方法在抽奖机会用尽后并发请求13直播间礼物漏洞原理用少量虚拟币送出大量礼物高危操作2000币的礼物通过并发可送出多个变现风险可通过自己直播间刷礼物套现14直播间竞猜消耗机制竞猜消耗积分测试方法用少量积分并发参与多次竞猜15绕WAF原理WAF需要时间分析恶意请求并发可使其过载方法同一时间发送大量恶意请求效果类似DDoS攻击可能使WAF失效16文件上传应用场景黑白名单校验的文件上传功能测试方法并发上传恶意文件案例部分靶场存在此类漏洞17只能用一次的功能核心原则任何一次性功能都可能存在并发漏洞测试思路对限制使用次数的功能进行并发测试随机找站测试1直播平台介绍平台定位以游戏直播为主的弹幕式互动直播平台用户规模累计注册用户2亿日活用户85万人主要内容热门游戏直播如英雄联盟、王者荣耀、和平精英等电竞赛事与游戏赛事直播手游直播特色功能提供高清流畅的互动式直播服务2并发测试点讨论弹幕系统短时间内发送相同内容的弹幕可能存在并发问题礼物系统刷礼物功能是典型的高并发场景登录系统签到功能是必测的并发点关注机制订阅/关注功能可用来刷粉丝量举报功能同一用户可能多次举报同一内容3签到功能并发测试测试重点验证签到功能是否能防止重复签到测试方法模拟多线程并发签到请求预期问题可能出现单日多次签到获取额外积分的情况4订阅与关注功能并发测试功能本质订阅相当于关注功能测试风险可能被用来恶意刷粉丝量测试要点关注/取消关注操作的并发控制5举报功能并发测试测试特点举报功能理论上应允许多次举报测试重点验证系统是否能正确处理高频举报潜在问题恶意用户可能利用并发举报进行骚扰6刷礼物与红包并发测试红包功能小程序红包和礼物红包都存在并发风险测试场景小额红包高频发送如5元红包并发发送礼物批量赠送风险后果可能导致用户用少量资金发送大量红包7竞猜功能并发测试功能特点需要消耗积分参与竞猜测试要点验证积分扣除和竞猜结果的并发一致性测试方法模拟多线程同时参与同一竞猜预期问题可能出现积分扣除异常或竞猜结果不一致社交功能用户互动支持商品评价点赞功能测试发现可连续多次点击邀请机制存在邀请好友获得奖励的营销功能需测试并发邀请是否会产生异常奖励支付安全支付环节需特别测试并发下单是否会导致超额扣款或支付漏洞优惠券组合使用场景下需验证金额计算准确性邀请功能测试1并发测试原理测试场景APP会员功能中通过邀请新用户输入邀请码可免费获得会员并发点在用户输入邀请码的环节可以进行并发测试预期漏洞通过并发请求可能突破一个邀请码只能使用一次的限制2测试方法操作步骤捕获输入邀请码时的网络请求包使用并发工具同时发送多个相同请求验证是否获得多次会员权益漏洞表现系统错误地将同一邀请码识别为多个有效邀请库存限制测试1测试场景限制条件商品库存仅剩1件测试目标验证系统是否能正确处理库存不足情况2并发测试方法测试步骤在提交订单环节进行并发请求同时发送多个购买请求检查是否生成多个订单漏洞表现系统生成多个订单突破库存限制任务完成测试1积分任务测试任务类型每日登录领取积分手动浏览特定页面自动领取积分含倒计时2并发测试方法手动任务捕获手动领取积分的请求包并发发送多个请求自动任务捕获倒计时结束时的自动请求包并发重放该请求漏洞表现单次操作获得多次积分奖励3悬赏任务测试测试场景任务完成最后一步的确认完成按钮并发风险并发点击可能导致多次发放奖励特别是与资金相关的功能风险等级高货币转换测试测试原理平台存在两种可相互转换的货币体系漏洞机制通过并发请求实现货币异常增值示例多次并发转换会导致越转越多测试方法设计并发数据包进行转换操作监控货币数量变化是否超出预期云手机功能测试1试用时长漏洞正常流程新用户可领取15分钟免费时长漏洞利用对领取按钮进行并发操作实际可获得75分钟正常值的5倍危害评估通过并发可无限白嫖使用时长2产品试用限制突破常规限制试用产品通常设置购买数量限制测试方法进入订单确认环节对支付环节进行并发操作漏洞表现生成多个0.1元订单突破单账号试用数量限制实现无限试用效果3通用测试要点重点测试对象货币/积分转换系统签到奖励机制任务完成奖励积分商城兑换漏洞本质未对并发请求做有效限制危害升级当涉及实际金钱交易时危害更大越权水平越权1水平越权测试关键方法测试水平越权最重要的是找到由ID控制的功能点典型场景购物网站中常见的ID控制功能包括收货地址增删改查发票地址增删改查优惠券使用修改为其他账号的优惠券ID提交订单使用其他用户的地址ID订单号查看他人订单信息商品评价删除他人评价2水平越权简介水平越权概述定义当用户A和用户B具有相同权限等级时若系统仅验证角色权限而未校验数据归属导致用户A能访问用户B的数据称为水平越权访问本质权限校验不完整未对数据做细分校验ID控制的功能点核心特征通过修改请求中的ID参数来测试越权漏洞测试重点所有涉及用户数据操作的功能都应检查ID参数控制情况典型示例购物车商品ID收藏夹商品ID用户个人信息ID购物网站案例收货地址增删改查测试尝试增加/修改/删除其他用户的地址ID实现方式大部分网站通过地址ID进行数据关联发票地址与收货地址类似测试增删改查操作收藏功能通过商品ID控制测试修改收藏ID优惠券与订单ID控制优惠券系统测试修改优惠券ID为其他用户的券注意区分自己和他人的优惠券ID订单系统测试修改订单ID查看他人订单测试提交订单时使用他人地址ID其他系统案例学习管理系统测试课程ID、用户ID等参数通用原则任何系统只要存在ID参数控制的数据访问都可能存在水平越权风险防御建议服务端必须校验当前用户与请求数据的归属关系3应用案例例题:水平越权漏洞ID控制机制系统通过项目ID控制各项功能包括点赞、收藏、公告等功能都需要获取项目IDURL识别通过查看URL栏可以明显看到项目ID这是识别ID控制的最直接方式功能关联实现任何功能都需要先获取项目ID再调用相应功能接口例题:Bitstamp平台水平越权ID唯一性每个项目都有对应的唯一ID通过点击项目可在URL中查看公告ID控制每个公告也对应独立ID访问公告时会显示在URL中页面独立性每个公告都有独立页面通过不同ID区分例题:成就功能水平越权成就ID结构成就数据采用JSON格式包含badge_id等标识字段隐藏成就获取通过修改用户ID可以尝试获取本应隐藏的成就信息数据公开性判断部分成就信息虽然是公开的但修改ID仍可能获取未授权数据例题:用户ID修改问题ID替换测试将接口中的用户ID替换为其他用户ID进行访问测试数据泄露风险如果系统未做权限验证可能获取其他用户的私有成就数据功能限制添加好友、拉黑等功能虽然也使用ID但属于正常功能范围例题:报告附件ID控制报告ID特性每个报告都有复杂ID字符串不同于简单的顺序编号附件访问控制报告附件通过报告ID进行控制可能单独获取越权测试方法通过互换报告ID测试能否访问其他用户的报告附件权限验证缺失如果系统未验证报告所有权可能导致附件信息泄露控制台隐藏报告获取正常情况下无法查看的报告可以通过特定方法获取到相关图片和视频内容漏洞风险这种非正常获取报告的方式可能存在安全漏洞风险数据获取方式可以通过过滤反转数据网址等方式获取隐藏内容支持多种文件类型获取Fetch/XHR、JS、CSS、图片、媒体、字体等安全建议在漏洞标记为已解决前建议不要请求公开报告公开请求不会加快提交转换过程回复功能功能测试思路核心数据获取需要获取报告ID作为回复目标用户ID通常通过cookie自动识别但测试时需考虑手动获取的情况测试方法将报告ID替换为他人ID测试越权回复验证系统是否能正确识别并阻止非授权用户的回复操作安全边界测试是否可以通过修改ID参数控制发送人身份信息检查系统对伪造用户ID的防御机制测试注意事项细粒度验证需要测试所有相关子功能的完整性包括但不限于消息发送、附件上传、身份验证等环节异常场景测试系统对恶意内容上传的防护能力验证缩略图等文件上传时的安全过滤机制常见测试盲区易忽略点跨站点请求伪造(CSRF)防护虚拟现实环境下的功能兼容性高频请求时的节流机制有效性测试技巧使用不同权限账户进行平行测试检查日志记录完整性测试结果验证验证标准确保所有测试用例都有明确的通过/失败标准需要验证前端展示与后端数据的一致性常见问题400错误可能由参数格式错误引起需检查元数据(如/thmbl.png)的访问权限控制小众功能与漏洞分析基础操作逻辑所有功能操作前需先获取报告ID这是系统设计的首要步骤关键验证点通过修改报告ID测试是否存在越权漏洞这是安全测试的核心方法报告ID机制功能关联性所有子功能都依赖报告ID作为操作凭证包括编辑、删除等敏感操作测试发现实际验证显示修改ID后仍可操作证明存在越权风险字幕原文“你看跟我们的这个ID是一样的。是吧那我们把这个ID改成别人的但是那如果操作成功的话”功能细粒度分析隐蔽风险部分功能如CrowdStream可见性设置存在细粒度权限控制缺陷测试要点需要特别关注ID参数传递过程中的权限校验机制字幕原文“所以有些功能它是很细的有些。就会忽略这些功能”披露功能分析操作前置条件披露功能同样需要先获取报告ID才能发起请求业务逻辑系统建议在漏洞标记为已解决后才请求披露这是标准的漏洞管理流程编辑与删除功能新增发现测试过程中意外发现隐藏的编辑和删除功能字幕原文“你看这里又有一又多出两个功能来编辑”测试方法论强调需要细致测试每个功能点不能遗漏任何可能的操作入口测试案例实际案例演示了通过修改ID参数实现越权访问的具体过程修复验证案例显示系统对前后字符进行了限制但存在新的绕过方法字幕原文“交的漏洞利用方法已经通过重新测试修复限制前后字符。我使用了新的方法”测试注意事项测试深度必须对所有功能进行完整测试链验证包括看似次要的功能记录要求需要详细记录每个测试步骤和系统响应这是漏洞报告的关键证据边界检查特别注意参数传递过程中的类型转换和边界值处理编辑功能ID控制机制ID修改原理通过修改报告ID可以访问其他用户的报告内容测试要点需要细致测试ID参数是否可以被篡改验证是否存在越权访问风险漏洞利用案例CSRF漏洞示例跨站请求伪造(CSRF)漏洞可导致特定操作被恶意执行漏洞状态已提交2个月但未解决ID为3113cdh5-135b-ao5?-3h-dana71目标信息虚拟现实测试站点错误网址包含敏感参数付款功能安全付款控制付款功能涉及金额较大总额$2,500需要严格控制访问权限付款周期太平洋时间每个工作日上午9点进行汇款下载功能风险高危漏洞曾发现通过下载功能越权获取他人身份证信息的漏洞获利8000元控制要点需要验证下载功能是否使用用户ID或报告ID进行权限控制功能安全测试方法测试重点识别系统中所有使用ID参数的功能点验证ID参数是否可以被篡改检查筛选类功能是否会保存操作状态风险判断仅提供筛选但不保存操作的功能通常不存在越权风险潜在漏洞位置高风险区域个人资料编辑功能文件下载功能付款记录查看功能验证方法通过数据包分析确认ID参数的使用方式和权限控制机制个人资料编辑功能ID控制原理系统通过用户ID识别并控制个人资料的修改权限功能实现编辑个人简介需要获取用户ID修改信息通过ID进行权限验证特殊功能如头像/封面修改需要ID授权图片上传功能上传控制机制ID验证头像上传必须验证用户ID封面图更换需要ID授权技术实现通过请求包中的ID参数控制可能结合cookie进行双重验证测试方法测试要点检查上传请求是否包含用户ID验证ID参数修改后的系统响应测试cookie与ID的联动控制测试工具使用临时邮箱注册测试账号通过抓包工具分析请求参数八、付款方式控制机制ID控制原理隐私性付款方式通过用户ID进行控制确保只能本人查看验证方法可通过输入测试数据验证ID控制机制如我们随便输几张异常情况当系统只有一个地址时ID控制可能失效Cookie验证机制备用方案在ID控制不可用时系统可能转为使用cookie验证用户身份技术验证通过检查响应数据包确认验证方式搜索地址ID未果时可确定使用cookie控制示例“返回的页面就有我们这个信息…直接用我们的cookie进行判断”系统功能限制功能缺陷当前系统功能较少主要控制点在于商品ID但实际作用有限网站核心功能模块测试技巧短期测试时可采用我们自己生存一个星期就行了的简化方案调试方法工具使用推荐使用BP(Burp Suite)进行数据包分析排查步骤检查响应数据搜索地址ID字段确认cookie中的用户标识判断依据当找不到地址ID时可确认使用固定cookie控制数据包ID测试方法常见ID位置URL参数中如/user?id123POST请求的data字段中JSON或表单格式Cookie头部信息中测试流程识别数据包中的用户ID参数单独修改URL中的ID保持data不变观察响应单独修改data中的ID保持URL不变观察响应同时修改URL和data中的ID为相同值观察响应结果分析若仅修改URL的ID就能获取其他用户信息 → URL参数控制权限若仅修改data的ID就能获取其他用户信息 → 请求体参数控制权限需要同时修改两者才能生效 → 系统进行了双重校验任意修改均无效 → 可能存在其他校验机制请求类型差异GET请求ID通常出现在URL查询参数中POST请求ID可能出现在URL路径如/user/123表单数据form-dataJSON请求体application/json特殊格式处理JSON格式需要保持语法正确性URL编码需注意特殊字符处理测试时要维持原始数据包结构测试要点每次只修改一个变量科学对照原则记录原始值和修改值便于回滚注意观察响应状态码和错误信息测试用例应包含有效ID的合法请求基线修改为相邻ID如123→124越权访问高权限ID如普通用户→管理员异常值测试如非数字ID、超长ID等安全防御建议服务端应对所有ID参数进行权限校验建议使用会话机制替代显式ID传递敏感操作应增加二次认证日志记录所有ID修改尝试权限控制漏洞测试ID参数越权测试用户ID控制通过修改did参数实现用户身份控制如将student ID改为teacher ID垂直越权当student和teacher权限不同时修改ID会导致权限升级漏洞敏感参数识别需特别关注admin ID、uuid等敏感参数字段测试方法参数修改直接修改请求中的vid、did等ID参数值URL解码对编码参数进行解码可暴露敏感信息并发测试通过并发请求检测权限校验漏洞十一、功能点测试案例点赞功能测试文章ID控制通过修改文章ID参数实现跨用户点赞操作视频ID测试vid参数控制特定视频的点赞行为越权验证修改ID后检查是否能操作非授权资源删除功能测试删除权限校验测试删除操作是否校验用户权限参数遍历通过顺序ID尝试访问其他用户数据水平越权相同权限用户间的未授权访问十二、安全测试技巧敏感信息识别关键字监控重点监控teacher、admin、student等权限相关词汇参数分析检查所有ID类参数是否可预测或可枚举数据关联注意参数间的关联关系如userID与did的对应测试流程请求分析检查数据包中所有ID参数参数修改逐步修改各ID参数值结果验证确认是否获取未授权数据或权限十三、越权漏洞分析编辑功能越权风险ID获取机制编辑功能需要获取尺码表对应ID系统通过ID识别操作对象漏洞成因未校验用户权限与操作ID的归属关系导致可越权编辑他人数据危害示例修改他人尺码表数据可能影响商品交易准确性删除功能漏洞漏洞特征删除功能存在未修复的越权漏洞危害等级为中级漏洞价值单个删除功能漏洞赏金可达2000元测试盲区多数测试者忽略删除功能的权限校验分析评论系统越权ID验证缺陷评论功能本应通过cookie验证用户身份但实际通过请求头传递用户ID攻击方法修改数据包中的用户ID字段即可冒用他人身份发表评论高危场景若可获取官方账号ID可能造成权威账号虚假评论垂直越权原理基本概念定义不同权限级别用户间的非法权限跨越向上越权低权限用户访问高权限功能如普通用户执行管理员操作向下越权高权限用户访问本应受限的低权限敏感信息如查看用户密码典型漏洞场景密码重置功能低级用户可能越权重置高级用户密码权限修改功能低级用户可能越权提升自身权限等级信息查询功能管理员可能越权查看普通用户的敏感信息测试方法测试工具使用专业越权测试插件如侠客插件测试步骤准备不同权限等级的测试账号抓取高权限操作的数据包替换为低权限用户的身份凭证验证操作是否成功执行判断标准低权限用户成功执行高权限操作即存在漏洞重设密码功能漏洞特征密码重置请求未严格绑定用户身份验证攻击向量修改请求中的用户ID参数可重置任意账户密码防护建议增加二次身份验证绑定操作令牌与登录会话记录敏感操作日志应用案例例题:用户权限越权添加案例背景: 使用普通员工账号演示权限越权漏洞该账号仅有添加用户的基础权限漏洞原理: 通过修改用户类型关键字实现权限提升将普通用户类型修改为admin关键字即可创建管理员账号其他可修改的关键字包括匿名用户、普通用户等检测方法:重点关注数据包中的权限控制字段分析系统功能点的权限校验机制测试不同用户类型关键字的修改效果越权绕过技巧状态码绕过适用场景: 遇到401/403等权限拒绝状态码时方法1-数组绕过:将JSON格式参数改为数组形式示例在用户ID参数后添加逗号和其他用户ID方法2-参数污染:重复添加相同参数但不同值示例userID1userID2通配符技巧通配符使用:在查询参数中使用通配符()查询所有用户示例userIDURL编码:对特殊符号进行URL编码绕过过滤示例将*编码为%2A版本降级攻击原理: 测试旧版本接口的权限控制操作方法:修改API版本号(如v3改为v1/v2)检查旧版本接口是否存在越权漏洞请求格式修改方法1-格式转换:在URL后添加/删除.json后缀示例/api/user → /api/user.json方法2-请求方法变更:切换GET/POST/PUT等HTTP方法测试不同方法下的权限校验差异请求头绕过Referer头操作:修改或删除Referer请求头GUID替换:将长GUID值简化为0或1示例guid123e4567… → guid0corsxss漏洞跨域资源共享1CORS是什么定义: CORS(跨域资源共享)是一种浏览器安全机制用于控制跨域请求的访问权限。出现场景: 当网页尝试从一个域名请求另一个域名的资源时触发常见于AJAX跨域请求。安全作用: 防止潜在的安全风险如敏感数据泄露。实现位置: 主要配置在服务端通过服务器响应头控制跨域权限。典型组合: 常与XSS攻击配合使用需要特别注意安全配置。2CORS和CSRF的区别本质区别:CORS: 是一种安全机制用于限制浏览器跨域请求资源。CSRF: 是一种攻击技术欺骗用户执行非预期操作。出现位置:CORS漏洞: 主要出现在服务端配置不当。CSRF攻击: 利用用户已登录状态进行攻击。影响范围:CORS风险: 可能导致敏感数据泄露。CSRF风险: 可能导致未经授权的操作执行。防御方法:CORS防御: 正确配置服务器响应头Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-HeadersAccess-Control-Allow-CredentialsCSRF防御: 使用CSRF令牌验证请求合法性。跨域请求机制:浏览器先发送OPTIONS预检请求服务器响应允许跨域后才会发送真实请求非简单请求(PUT/DELETE等)必须经过预检跨域限制是浏览器的安全策略3测试CORS漏洞例题CORS漏洞测试靶场说明使用PortSwigger官方靶场进行演示靶场地址为https://portswigger.net/web-security/cors漏洞特征网站具有不安全的CORS配置信任所有来源测试目标编写JavaScript代码使用CORS检索管理员的API密钥利用步骤检查浏览器历史记录观察密钥是否通过AJAX请求检索在Burp Repeater中添加Origin头重新提交请求构造HTML利用代码并上传到漏洞利用服务器例题CORS接口测试测试方法添加Origin请求头测试跨域访问检查响应头中Access-Control-Allow-Origin的值测试Access-Control-Allow-Credentials是否为true漏洞确认当响应头包含Access-Control-Allow-Origin: *时存在漏洞允许任意来源携带凭证访问(Access-Control-Allow-Credentials: true)可获取敏感信息如API密钥和会话cookie问题解析区别CORS安全机制控制跨域资源访问权限CSRF攻击技术诱使用户执行非预期操作防范方法CORS正确配置服务器CORS策略CSRF使用CSRF令牌验证请求合法性问题解析利用代码var reqnew XMLHttpRequest();req.onloadreqListener;req.open(get,YOUR-LAB-ID.web-security-academy.net/accountDetails,true);req.withCredentialstrue;req.send();代码解析withCredentials设置为true允许携带凭证请求完成后通过reqListener函数处理响应可将获取的敏感信息发送到攻击者控制的服务器CORS例题:百度域名CORS请求跨域限制验证当尝试从百度域名发起请求时响应包中没有包含Access-Control-Allow-Origin头说明该域名不允许跨域请求。空值特性本地HTML文件的origin值为null某些靶场环境下空值可以绕过白名单限制。例题:复制域名CORS请求请求实现通过XMLHttpRequest发送GET请求到目标域名设置withCredentials为true携带凭证。响应处理当状态码为200时将响应文本显示在页面元素中否则显示错误状态码。例题:CORS漏洞利用漏洞特征该网站存在不安全的CORS配置信任null origin。利用步骤构造包含恶意JavaScript的HTML文件设置Origin为null通过AJAX请求获取管理员API密钥将获取的密钥提交到漏洞服务器关键代码需要设置withCredentials: true来携带会话凭证。响应验证成功响应中包含Access-Control-Allow-Credentials: true和Access-Control-Allow-Origin: null头确认漏洞存在。自动扫描结果检测机制系统会自动扫描当前环境中的漏洞无需手动触发异常情况扫描过程中出现洛克佛可能是Lockfile的误识别文件被自动检测到漏洞类型检测到CORS跨域资源共享相关漏洞安全等级漏洞标记为Web Security级别特征识别系统能够自动识别可信null origin的漏洞情况验证方法通过发送特定请求包验证漏洞存在性请求特征使用HTTP/1.1协议User-Agent显示为特定扫描工具响应分析系统会自动分析服务器响应中的安全头部缺失情况修复建议建议检查服务器CORS配置需要验证null origin的特殊处理推荐添加严格的安全头部关联功能该漏洞可能影响API接口的安全性例题: CORS漏洞利用案例1漏洞利用原理信任null源: 当网站配置为信任null源时攻击者可以利用特殊构造的iframe发起跨域请求敏感信息泄露: 通过精心设计的请求可以获取用户敏感数据但老师演示案例中未成功返回敏感信息浏览器限制: 演示使用的是Google Chrome浏览器建议使用Burp Suite内置浏览器进行测试2攻击实施过程请求构造:使用XMLHttpRequest对象发起跨域请求设置withCredentials属性为true以携带用户凭证精心设计请求头绕过安全限制响应分析:观察案例中服务器是否返回预期的敏感信息3实战注意事项环境配置:推荐使用Burp Suite的浏览器而非Chrome需要正确配置代理和拦截设置结果验证:注意观察服务器响应头和实际返回内容防御措施:服务器应严格限制允许的源避免使用通配符或信任null源对敏感操作实施CSRF令牌保护例题CORS漏洞利用与空源绕过1漏洞利用原理空源信任漏洞当网站信任null源时攻击者可以通过特殊构造的请求绕过CORS限制利用条件目标网站配置了Access-Control-Allow-Origin: null或类似宽松策略攻击方法使用iframe的sandbox属性生成空源文档在其中执行跨域请求2绕过技术sandbox属性通过设置iframe sandbox可以创建空源上下文请求构造在沙盒iframe中使用XMLHttpRequest发送跨域请求响应捕获利用withCredentialstrue携带受害者cookie3实际攻击演示代码结构关键参数必须设置withCredentials为true才能携带认证信息绕过验证当服务器返回Access-Control-Allow-Origin: null时攻击成功4防御措施严格源检查不应信任null源应明确指定允许的域名凭证控制敏感接口不应设置Access-Control-Allow-Credentials: true正则验证对Origin头进行严格正则匹配避免通配符滥用跨域安全1同源策略定义三要素限制协议(http/https)、域名、端口号必须完全相同访问控制当三要素任一不同时浏览器会阻止跨域请求典型场景https访问http协议、主域名与子域名互访、不同端口间访问2空源漏洞利用iframe特性空源iframe可以绕过部分同源策略限制攻击原理利用iframe标签的src属性留空时产生的同源策略例外payload示例iframesrcjavascript:alert(document.domain)/iframe子域安全测试1子域验证方法测试步骤构造包含目标子域的请求观察响应是否存在跨域错误验证空源iframe的可行性关键发现部分子域配置不当会导致同源策略失效2COS漏洞利用漏洞特征跨域资源共享(CORS)配置错误攻击向量恶意iframe嵌套空源请求注入防御措施严格设置Access-Control-Allow-Origin头安全测试案例1密钥泄露测试测试流程构造特殊payload通过iframe发起请求捕获响应中的敏感信息典型结果成功获取API密钥等敏感数据2日志验证方法验证步骤检查服务器访问日志确认请求来源分析请求参数注意事项需区分正常流量与攻击流量应用案例1例题:登录后测试跨域跨域漏洞测试方法测试步骤首先测试百度域名是否允许跨域测试目标自身域名尝试使用通配符测试最后测试子域名关键发现子域名1.0允许跨域请求但带后缀的域名如.baidu不允许利用条件需要找到存在XSS漏洞的子域名或当前域名进行配合利用跨域限制特征域名限制主域名允许跨域子域名1.0允许跨域带后缀域名禁止跨域通配符测试使用*通配符测试失败空值测试来源为空值的请求会被拒绝2例题:XSS漏洞测试XSS漏洞检测方法检测位置所有前端输出点所有请求参数测试方法对标题标签注入测试对ID参数注入测试发现store子域名存在可注入参数验证方式输入测试payloadhe123后页面有回显XSS漏洞验证成功案例在store子域名发现两个可注入参数测试第一个参数成功弹窗payload修改将原本输出long的代码改为弹窗代码只需修改alert部分即可实现功能本地测试HTML文件来源为空值时无法触发漏洞3例题:存在网站XSS攻击跨域与XSS组合利用利用场景子域名存在反射型XSS漏洞另一域名存在CORS漏洞攻击步骤构造包含XSS payload的URL通过CORS漏洞向目标域名发送请求利用子域名的XSS漏洞执行恶意代码注意事项需要确保两个漏洞的域名关系符合CORS策略攻击POC生成生成方法明确漏洞存在位置子域名XSS主域名CORS构造包含恶意脚本的URL参数测试不同来源的请求效果调试过程初始POC存在语法错误通过多次修改优化payload最终实现跨域请求触发XSS关键代码需要在URL中完整包含攻击脚本并正确处理参数编码4XSS漏洞攻击案例反射型XSS漏洞漏洞特征参数中存在未过滤的用户输入导致脚本注入攻击方式通过构造特殊URL实现恶意脚本反射执行典型场景常见于搜索框、错误页面等动态内容展示区域防御方法输入过滤对用户提交的参数进行严格验证输出编码使用HTML实体编码处理动态内容HTTP头设置配置Content-Security-Policy策略5SSRF攻击技术超SS地址构造地址特征包含特殊协议如gopher://的内部系统地址利用方式通过服务端请求伪造访问内网资源典型案例演示了通过参数注入实现内网探测防御措施白名单校验限制可访问的域名和IP范围协议禁用禁止非常用协议请求错误信息统一化错误提示避免信息泄露6域名重定向漏洞攻击原理漏洞成因未验证的重定向URL参数利用方法构造恶意跳转链接实施钓鱼攻击检测技巧观察URL中的redirect/to等关键字参数编码问题URL编码演示了%20等编码字符的绕过方式双重编码部分系统存在多层解码漏洞防御建议严格校验解码后的最终URL7反射型XSS漏洞基本特征参数控制通过URL参数注入恶意脚本如?paramscriptalert(1)/script无害测试使用h1等基础HTML标签验证漏洞存在性触发方式需要特定参数值触发不存储在服务器端检测方法输入点定位URL参数包括路径和查询字符串表单字段搜索框、评论区等HTTP头部如Referer、User-Agent测试payload8存储型XSS漏洞核心特点持久化存储恶意脚本被保存到数据库/文件系统自动触发用户访问正常页面时自动执行高危场景用户评论区含富文本编辑器个人资料页昵称/头像字段订单备注/站内信系统攻击向量文件上传绕过SVG文件包含JS代码svgscriptalert(1)/scriptPDF文件嵌入恶意脚本需浏览器插件支持DOM操作滥用9实战检测技巧测试流程定位所有用户输入点注入基础探测payload如h1test/h1验证HTML解析情况逐步升级为脚本执行测试常见绕过技术编码转换Base64编码scripteval(atob(YWxlcnQoMSk))/scriptHTML实体编码lt;scriptgt;alert(1)lt;/scriptgt;事件处理器10防御方案输入处理过滤规则移除script、javascript:等危险模式白名单方式允许安全标签如b、i编码转换对 ’ 等特殊字符进行HTML实体编码输出控制上下文敏感编码HTML正文使用HTML编码HTML属性使用属性编码JavaScript代码使用JS编码11典型案例分析投票系统漏洞漏洞场景投票名称字段未过滤HTML标签存储后在前台展示时执行脚本攻击效果窃取用户投票凭证篡改投票结果显示PDF预览漏洞触发条件网站提供PDF在线预览功能浏览器使用易受攻击的PDF插件利用方式注所有测试应在授权环境下进行实际漏洞利用需遵守法律法规。防御措施应实施纵深防御策略结合输入验证、输出编码、CSP等多层防护