【安全漏洞】SRC另类思路分享:不受限制的资源调用

最新推荐文章于 2024-05-23 20:55:38 发布
最新推荐文章于 2024-05-23 20:55:38 发布
阅读量2.3k 收藏 5
点赞数 3
分类专栏: 安全 网络 漏洞 文章标签: web安全 安全 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/122128097
版权
本文分享了一种不受限制的资源调用思路,通过改变身份证号进行实名验证,揭示了SRC安全漏洞。作者通过测试发现,某些平台在身份证验证中存在漏洞,允许无限调用资源,可能被用于社工攻击。文章强调了此类漏洞可能导致的资源浪费,并提醒在SRC挖掘中注意合法性和规则遵循。
摘要由CSDN通过智能技术生成

在这里插入图片描述

前言

对于SRC的挖掘思路,很多师傅已经给出了挖掘实用技巧。今天带来一篇本人的思路分享:不受限制的资源调用。

一、进入正题

相信在各位的学习、生活中都遇到过这样的页面
在这里插入图片描述
此处我以某厂商的云服务购买为例,由图可知,需要我们输入姓名、身份证、联系电话等。如果按照我们普通的挖掘思路,此处可能存在的漏洞是不是有SQL、XSS、越权查看他人提交信息、CSRF等等,其实此处可以利用一种新的思路,我称之为不受限制的资源调用。

二、漏洞测试

此处我们先输入自己的真实姓名+身份证号,然后把身份证号的最后一位7,改成5,进行提交,此时可以发现,提示我们需要输入正确的身份证号码,同时Burp没有任何数据包请求,判断此处是前端做了校验,校验用户输入的身份证号是否能够与规则匹配。同时可在JS文件中找到相应规则,此处校验不通过会返回false阻止我们进行提交。

私信回复“资料”课获取以下资料包【点击查看
1、200多本网络安全系列电子书
2、全套工具包
3、100份src

最低0.47元/天 解锁文章
IT老涵
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
怎么入门SRC漏洞挖掘,src漏洞新手怎么入门
weixin_68789096的博客
06-16 2368
SRC漏洞挖掘是现代互联网安全领域的一个重要分支,是许多企业和组织确保其软件和数据安全性的必要手段。虽然SRC漏洞挖掘看上去很高级,但其实它所涉及的一些基础知识和工具都是可以学习和掌握的。
实战SRC漏洞挖掘全过程,流程详细【网络安全
2301_76694151的博客
05-06 1823
一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。
漏洞挖掘日记1:企业src某系统存在登录绕过漏洞
weixin_49349476的博客
08-10 664
登录绕过漏洞属于逻辑漏洞的一种,这种漏洞会直接绕过身份验证,直接进入后台。
SRC 漏洞挖掘:开发厂商.(批量通杀)(教育漏洞报告平台)
最新发布
网络安全领域___专研者.
05-23 433
SRC (Security Research Center) 漏洞挖掘是一种专门针对网站和应用程序安全漏洞进行发现和研究的活动。SRC 漏洞挖掘通常由安全研究人员或专业的安全团队执行,目的是及时发现和修复系统中存在的安全隐患,提高系统的整体安全性。这项工作对于保护网站和应用程序免受黑客攻击非常重要。
2023最新SRC漏洞挖掘快速上手攻略!
2301_77732591的博客
06-07 3652
随着网络安全的快速发展,黑客攻击的手段也越来越多样化,因此SRC漏洞挖掘作为一种新的网络安全技术,也在不断发展和完善。那么,作为一个网安小白如果想要入门SRC漏洞挖掘,需要掌握哪些知识呢?以下是本人通过多年从事网络安全工作的经验,综合网络上已有的资料,总结得出的指导SRC漏洞挖掘入门的详细介绍。1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞挖掘、漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。
edusrc-web:edusrc用户主页数据分析与查询
03-15
edusrc网站 edusrc用户主页在线数据分析与查询
html5手机网站调用微信分享
07-16
HTML5手机网站调用微信分享涉及一系列的技术点,主要围绕微信开放平台提供的JavaScript SDK进行实现。以下将详细阐述这些知识点: 1. **获取网络类型**:在HTML5中,可以使用`navigator.connection`对象来获取设备...
Android:微信登录,微信分享demo 源码
09-11
在Android开发中,微信登录和分享功能已经成为许多应用不可或缺的一部分,尤其对于社交和电商类应用。这个名为"WeChatDemo"的源码示例是专门为开发者提供如何集成微信SDK,实现微信登录和分享功能的参考。下面我们将...
Qt不规则窗体程序,含调用天气预报和翻译WebService
06-26
在本文中,我们将深入探讨如何使用Qt框架创建不规则窗体,并实现调用WebService以获取天气预报和翻译功能。Qt是一个跨平台的应用程序开发框架,广泛应用于桌面、移动和嵌入式设备上,支持多种编程语言,如C++、...
web调用本地应用程序exe例子
02-16
- 如果出于安全原因不允许JavaScript直接调用本地应用,可以在服务器端设置一个代理服务。用户通过Web请求触发服务器调用本地exe,然后服务器将exe的输出返回给Web应用。 4. **BS调用CS例子** - "bs调用cs例子...
迅雷API接口_通过脚本调用迅雷自动下载资源.txt
09-03
1. **权限问题**:调用迅雷API接口可能受到系统权限的限制,需要确保有足够的权限运行脚本。 2. **兼容性**:不同版本的迅雷可能会对API接口有所调整,需要注意版本兼容性问题。 3. **安全性**:使用第三方API时需要...
安全技术-挖掘src之路-高清PDF
07-02
所谓完事开头难。 对于我们个人而言,决定认认真真挖掘一家厂商漏洞时,刚开始最难的就是信息收集,这是耗费精力最大的,占用时间最长的一个环节,而且它是一个持续的过程。 SRC漏洞挖掘中需要收集的信息大概包括 1.厂商的域名和IP段 2.厂商的业务信息
国内百家企业SRC一览表(安全应急响应中心)
Kevin's Blog
07-03 1万+
以下SRC仅按年度排名 各公司应急响应中心 上线时间 SRC名称 2012 TSRC(腾讯) 2013 ZSRC(猪八戒) 2013 (网易安全) 2013 KSRC(金山)
SRC漏洞挖掘信息收集与挖掘技巧
A_991128a的博客
03-09 145
搜索引擎搜索 Google、百度、360、bing、搜狗等主流搜索引擎,通过搜索语法进行搜索。 优点:发现域名时往往会同时发现一些敏感的页面。 缺点:收录有限。
资源帖】漏洞平台(国内外)+企业SRC整理-持续更新
Keylion ,Your Hero
03-06 6351
前言 不挖洞的安服工程师不是一个合格的白帽子,整理一波各大SRC平台的名单,欢迎评论补充,以供参考。 综合SRC平台-国内 1.漏洞盒子 2.补天平台 3.i春秋漏洞安全响应平台-SRC部落 综合SRC平台-国外 1.Hackone 各大企业SRC 1.YY安全应急响应中心 2.苏宁安全应急响应中心 3.去哪儿安全应急响应中心 4.竞技世界安全应急响应中心 5.金山安全应...
公益src漏洞挖掘
weixin_46865273的博客
04-17 1415
某制作业公司存在sql注入 判断字段数 为8个 语法order by 8 字段数为9 页面会发生报错 使用联合查询语句 发现有回显点 使用函数 database() 出现库名 用得到的库名查询表名 语法:union select 1,2,3,(group_concat(table_name)),5,6,7,8 from information_schema.tables where table_schema=‘XXXXXXXXX’ 得到25个表 选中admin表 查询里面的字段 获得7个字段 语法:
SRC漏洞挖掘经验+技巧篇
weixin_41489908的博客
07-25 4922
一、漏洞挖掘的前期–信息收集 虽然是前期,但是却是我认为最重要的一部分; 很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。 1、域名信息收集 ​ src一般都只收对应的漏洞,很多src的公告里面就会明确范围;然后我们就需要根据这些范围来确定域名。 如果src上面没有给出范围,那么需要我们去搜集,你
漏洞挖掘经验分享
qq_53058639的博客
03-15 1493
之前运气好,挖到的一个洞的思路分享给大家,首先是通过一个很微小的信息泄露在http的响应头中,找到了他们使用的cms版本号,后来通过搜索市面上的漏洞,发现最新版的问题都不存在了,后来又下载了最新的源码进行了代码审计,然后正好那段时间在学,就发现了个sql注入点。3.找大师傅们尽量听他们给的建议,或者给你的规划,而不是说一味的去问怎么挖洞,这种问题就相当于,一个小孩还不会写字,在让你教他写作文一样,毫无意义,这个过程需要自己慢慢的积累和学习,而不是让别人喂,来让别人施舍,只会让别人看不起自己!
记一次SRC实战-信息泄露
YINGXXX123的博客
01-23 1094
SRC实战信息泄露。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括:有关其他用户的数据,例如用户名或财务信息敏感的商业或商业数据有关网站及其基础架构的技术细节泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他有趣的漏洞。有时,敏感信息可能会不慎泄露给仅以正常方式浏览网站的用户。但是,更常见的是,攻击者需要通过以意外或恶意的方式与网站进行交互来引发信息泄露。
SRC挖掘思路及方法
热门推荐
m0_65606241的博客
05-11 1万+
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值