1. 信息搜集
首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。
web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”
2. 漏洞挖掘
这里找到一个可以注册网站接口,先随便注册一个进去看看。
这里提供一个临时邮箱,保护自己的隐私也很重要。还是挺好用的哦!
https://temp-mail.org/zh/
注册完成登陆,点击个人中心里面我的队伍,然后创建一个。
这里结合Highlighter And Extractor (HaE)这个bp插件可以发现一些敏感信息泄露。
抓包之后发现,里面存在用户的敏感信息,身份证手机号以及个人ID等。
3. 总结
测试小技巧:测试的时候需要开启BP,可以先进入网站各个功能点一下,之后再查看HTTP历史记录,并搭配BP的插件,说不定漏洞就会展现到你面前。因为某些网站有些接口的功能,虽然前端页面不显示,但是返回包有时会泄露敏感信息。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取