测试环境准备,配置hosts ,测试账号,浏览器开启代理。
工具, burp ,设置代理和浏览器一致,开始抓包。
把所有页面全部点一遍,再看burp 抓的包,.css与. js 的页面一般不用太关注,因为这些回包的内容都是一些框架之类的,不涉及用户信息,不算敏感的数据包。
. json这个是主要要看的包,看它的回包中是否有用户手机号,身份证号,银行卡号,秘钥,等是否存在明文传输,如有这是也算是个中危漏洞。
当然这只是看网页自身的返回包,没有去执行什么操作的时候是否有敏感信息泄露。整体看完后,在着重看一下有文件上传的地方,上传文件成功是,她的回报中,是否包含敏感信息。
并且顺便去测试是否有文件任意上传得漏洞。
文件上传
前端要尝试绕过,更改网站上传文件的源代码后缀名后,上传文件,是否可上传成功。
后端绕过,用bur p抓包。先生成一个不允许上传的文件,更改后缀名后,上传时,抓包,在重发器中改为不允许上传的后缀,
去双写文件名,大小写绕过,特殊衣服绕过,等看是否可上传成功。
文件下载
找到网站有下载文件的地方,尝试更改下载文件咋的文件名,用.. /尝试是否有任意目录跳转。