黑盒测试之敏感信息泄露

已于 2022-04-14 19:09:17 修改
阅读量2.4k 收藏 1
点赞数
文章标签: 安全性测试
于 2022-04-14 08:55:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LAngle9/article/details/124163304
版权

测试环境准备,配置hosts ,测试账号,浏览器开启代理。

工具, burp ,设置代理和浏览器一致,开始抓包。

把所有页面全部点一遍,再看burp 抓的包,.css与. js 的页面一般不用太关注,因为这些回包的内容都是一些框架之类的,不涉及用户信息,不算敏感的数据包。

. json这个是主要要看的包,看它的回包中是否有用户手机号,身份证号,银行卡号,秘钥,等是否存在明文传输,如有这是也算是个中危漏洞。

当然这只是看网页自身的返回包,没有去执行什么操作的时候是否有敏感信息泄露。整体看完后,在着重看一下有文件上传的地方,上传文件成功是,她的回报中,是否包含敏感信息。

并且顺便去测试是否有文件任意上传得漏洞。

文件上传

前端要尝试绕过,更改网站上传文件的源代码后缀名后,上传文件,是否可上传成功。

后端绕过,用bur p抓包。先生成一个不允许上传的文件,更改后缀名后,上传时,抓包,在重发器中改为不允许上传的后缀,

去双写文件名,大小写绕过,特殊衣服绕过,等看是否可上传成功。

文件下载

找到网站有下载文件的地方,尝试更改下载文件咋的文件名,用.. /尝试是否有任意目录跳转。

 

 

LAngle9
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
抓取流量分析恶意软件或泄密流量(精)
墨痕诉清风的博客
12-09 1201
1. 打开Wireshark 2. 设置抓包大小(IP可选) 3. 应用omnipeek进行专家分析 4. 过滤IP流量包,通过shell脚本 #!/bin/bash mkdir X mkdir H A=`ls -l | grep -v ^d | grep -v sl.sh | awk '{print $9}'` for B in $A do tcpdunp -n -r $B...
敏感信息泄露结合验证码爆破利用
白帽渗透笔记的博客
01-13 3510
阅读本文大概需要 1.4 分钟 一个朋友开发的 APP,让我有空帮忙看一下,于是我下载下来玩了一下。 电脑开启 Charles,手机设置好代理,开始抓包。 进入首页,看到一个用户发的内容。 点进内容,同时查看抓取的请求。 查看请求内容详情的接口,发现有一个参数 id,一般这种地方都存在 sql 注入。拿 sqlmap 跑了一下,结果并不存在注入。 不管这个了。点击发布者头像,进入用户个人主页,同时查看抓包内容。 没想到居然返回了该用户的手机号! 手机号也就是对方的账号,拿到了账号就可以干很多事了.
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
package.json的奇淫巧技你知道吗?
weixin_44828588的博客
11-30 1222
今天来看看前端的大管家 package.json 文件相关的配置,充分了解这些配置有助于我们提高开发的效率,规范我们的项目。文章内容较多,建议先收藏在学习! 在每个前端项目中,都有 package.json 文件,它是项目的配置文件,常见的配置有配置项目启动、打包命令,声明依赖包等。package.json 文件是一个 JSON 对象,该对象的每一个成员就是当前项目的一项设置。package.json 作为前端的大管家,到底有哪些配置和我们的日常开发密切相关?下面就来仔细剖析一下这个文件。 当我们搭建一
【web渗透思路】敏感信息泄露(网站+用户+服务器)
11-22 7449
【渗透思路】敏感信息泄露
【burpsuite安全练兵场-服务端6】信息泄露漏洞-5个实验(全)
01-05 7944
【BP靶场portswigger-服务端6-信息泄露漏洞】5个实验-万文详细步骤
SensitiveInformationDetection敏感信息检测工具(暴露面检测)
weixin_56378389的博客
10-24 394
该脚本主要以中间件版本、其他版本、是否有源码泄露敏感信息检测和是否存在下载行为这几方面来检测。由于禁用了SSL证书验证,所以会存在一些安全性的问题,请酌情使用。原理为爬取网页内容,使用正则表达式匹配关键词,如果有特殊关键字可以自行修改、添加正则表达式来完善成自己所想使用的代码。
Web安全测试—11信息泄漏测试
wangxiumei_的博客
12-02 232
Web安全之信息泄露测试
Web 安全测试信息泄漏测试
软件测试技术资源分享官
04-28 524
消息泄漏测试主要是测试系统泄露敏感信息的风险。敏感信息包括数据库连接地址、账号和口令等信息,服务器系统信息,Web 服务器软件名称、版本,Web 网站路径,除html 之外的源代码,业务敏感数据等。主要包括以下几方面内容:>> 数据库账号密码测试 >>客户端源代码敏感信息测试 >>客户端源代码注释内容测试>> 异常测试 >>不安全的存储测试 >>Web 服务器状态信息测试 >>HappyAxis.jsp 页面测试
敏感信息介绍和测试方法
difination的博客
02-16 1081
敏感信息泄露介绍: 因为系统管理员或者系统设计人员的疏忽、管理不当导致系统的配置信息敏感数据(如用户登录名,身份证信息等)被其他用户可以轻易的收集到。 比如: 1.显示错误,在用户错误的url参数或其他数据参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息,从而导致web站点的默认后台被发现。 2.在前端的代码或源码中将敏感信息(将账号密码)直接写为注释 3.默认后台地址泄露,用户通过获取的搭建的cms系统,直接访问默认后台 例子1如下: 在某网页的搜索页面输入单引号 .
测试技巧之黑盒测试测试什么?
03-23
可编辑字段的检查和确认在所有可编辑字段中的有效、无效字符/字符串数据在字段中有效的最小/最大/中间范围的数据 可编辑字段的检查和...字段的检查 检查所有的测试/警告和错误信息、对话框中的拼写
黑盒测试实验报告word文件
06-18
软件质量保证与测试黑盒测试实验报告,仅个人作品,不保证完全正确。
黑盒测试之场景法方法综合练习.pdf
05-11
黑盒测试之场景法综合的练习和答案详解,看懂这几个题目就已经足够掌握场景法的主要知识点了,场景法综合案例及个人的答案详解
软件测试技术之:白盒测试黑盒测试
03-23
白盒测试黑盒测试 目录 1.软件测试基本分类...1 2....软件测试基本分类 一般地,我们将软件测试活动分为以下几类:黑盒测试、白盒测试、静态测试、动态测试、手动测试、自动测试等等。 黑盒测试
黑盒测试v11
08-03
1、注册新用户 2、开发成绩管理系统中所时有一项功能是输入学生英语成绩,系统 3、最近抖音很火的幸运盒子,操作规则如下: 4、某厂对一部分职工重新分配工作,分配
snmp 默认 端口_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告
weixin_39575565的博客
12-18 801
作者:知道创宇404实验室01更新情况02事件概述SNMP协议[1],即简单网络管理协议(SNMP,Simple Network Management Protocol),默认端口为 161/UDP,目前一共有3个版本:V1,V2c,V3。V3是最新的版本,在安全的设计上有了很大改进,不过目前广泛应用的还是存在较多安全问题的V1和V2c版本。SNMP协议工作的原理简单点来说就是管理主机向...
预防信息收集-敏感文件/路径泄露
最新发布
xmrc_的博客
12-17 88
敏感文件泄露危害绝不小于任何其他漏洞。
CVE-2021-44548 Apache Solr 敏感信息泄露漏洞分析及复现
蚁景网安学院
05-19 789
2021年12月18日,Apache发布安全公告,Apache Solr中存在一个信息泄露漏洞(CVE-2021-44548),该漏洞影响了8.11.1之前的所有Apache Solr版本(仅影响Windows平台)。Apache Solr的DataImportHandler中存在一个不正确的输入验证漏洞,可利用Windows UNC路径从Solr主机调用网络上的另一台主机的SMB服务,或导致SMB攻击。
【web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 6634
【渗透思路】框架敏感信息泄露
信息管理系统黑盒测试
11-16
信息管理系统黑盒测试可以从以下几个方面进行测试: 1.功能测试测试系统是否按照需求规格说明书的要求正常工作,包括输入、输出、处理和存储等功能是否正确。 2.界面测试测试系统的界面是否友好、美观、易用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值