- 博客(2)
- 资源 (15)
- 收藏
- 关注
原创 web测试中的短信问题
记录一下: 网站中手机号已经成为最重要也是最普遍的验证方式了。 所以关注短信的问题。 1.重置密码/短信验证码登录时验证码回显。 直接通过抓包,若验证码直接出现在返回包则直接可以跳过手机验证的阶段。 2.验证码没有限制发送频率。 利用这个来做短信炸弹, 3.发送手机短信验证时不需要输入图片验证码直接发送。 直接可以调用接口,可以被人利用做短信轰炸。 4.可以控制短信内容。 抓包...
2019-08-17 23:57:49 395
原创 APP安全测试一般关注点
记录一下: 一、身份认证安全 1、暴力破解账号密码 没有设置错误最大尝试次数,没有验证码校验, 2、前端校验账号密码 修改返回包的返回值测试。 3、密码重置安全 利用短信验证码回传,验证码暴力破解等 二、业务接口调用 1.重放攻击 短信炸断,自定义短信内容,邮件查单 三、业务交易安全 窜依篡改金额,负数支付,绕过支付,支付溢出,多线程并发,多重替换支付 四、业务授权安全 水平越权和垂直越权 ...
2019-08-11 22:16:03 522
phpcms v9.6.0版本
2017-09-09
struts-2.3.24-apps.zip包测试Struts2 S2-048高危漏洞
2017-09-08
WAVSEP1.5版本war包
2017-09-04
IIS上asp和php环境配置文件
2016-11-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人