背景
之前有幸做过一次线下的议题分享《我的Web应用安全模糊测试之路》,讲解了一些常用的WebFuzzing技巧和案例,该议题得到了很大的回响,很多师傅们也与我进行了交流,但考虑到之前分享过很多思路非常不全面,这里以本篇文章作为一次总结,以实战引出技巧思路(方法)。
我的Web应用安全模糊测试之路议题解读:https://gh0st.cn/archives/2018-07-25/1
(推荐阅读)
实战案例
以下分享的案例都是个人在参与项目或私密众测邀请时遇见的真实案例,案例大多基于个人收集和整理的FuzzDict项目
(字典库)。
其中涉及的一些漏洞可能无法作为Fuzzing归类,这里也进行了强行的归类,只是想告诉大家漏洞挖掘中思路发散的重要性,个人也觉得比较经典。
注: 漏洞案例进行了脱敏以及细节上的修改
案例-Add
[SQLi注入漏洞]
1.获得项目子域:https://xxx.com
2.目录扫描发现/user/
目录,二层探测发现/register
接口,其意为:“注册”
3.根据返回状态信息去Fuzz用户名、密码参数->结果:uname\pwd
4.对uname参数
进行SQL注入测试,简单的逻辑判断存在
5.注入点使用16进制的方式无法注入,SQLmap参数--no-escape
即可绕过
[拒绝服务]图片验证码
图片验证码DoS(拒绝服务攻击)这个思路很早就出来了,当时的第一想法就是采集样本收集参数,使用搜索引擎寻找存在图片验证码的点: