网站漏洞挖掘思路

程序员菠萝

已于 2024-01-09 18:41:53 修改

阅读量621

点赞数

文章标签：安全 web安全网络

于 2023-10-12 10:00:00 首次发布

本文链接：https://blog.csdn.net/xnxqwzy/article/details/133755249

版权

一、登录框常见漏洞

1、常规漏洞

未授权访问

未授权访问漏洞，是在攻击者没有获取到登录权限或未授权的情况下，不需要输入密码，即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问，同时进行操作。

sql注入、万能密码

我们在用户名中输入'or 1=1#，密码随意。就变成了select name.passwd from users where username=‘’ or 1=1#’ and password=****。在SQL语法中 # 是注释符，所以后面的语句都会杯注释掉，那么上面的语句就等价于select name.passwd from users where username=‘’ or 1=1 。在or 连接中， username='' 和1=1中有一个为真就为真。所以1=1肯定为真。如果存在sql注入的漏洞，则可以直接登录进去。

url重定向

网站接受到用户输入的链接，跳转到一个攻击者控制的网站，可能导致跳转过去的用户被黑客设置的钓鱼页面骗走自己的个人信息和登录口令。

修改返回包

由于对登录的账号及口令校验存在逻辑缺陷，以再次使用服务器端返回的相关参数作为最终登录凭证，导致可绕过登录限制，如服务器返回一个参数作为登录是否成功的标准，由于代码最后登录是否成功是通过获取这个参数来作为最终的验证，所以。攻击者通过修改参数即可绕过登录的限制！

越权

登录框处同样存在越权：

平行越权：获得相同等级的其它用户的权限；
垂直越权：低权限用户获取高权限用户的权限，例如:用户权限获得管理员权限，或者超级管理员权限。

目录遍历、信息泄露

目录遍历漏洞是由于web中间件目录访问相关的配置错误造成的，该漏洞会泄露web应用程序的敏感路径、敏感的文件信息、网站的编辑器路径或测试接口、系统敏感目录等信息。造成漏洞原因程序在实现上没有充分过滤用户输入的…/之类的目录跳转符，导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

跨站脚本攻击

分三类：反射型、存储型、DOM型利用：获取cookie，钓鱼等

2、用户相关

明文传输、用户名遍历

在登录框Burp抓包，发现用户名、密码是明文传输的，即客户端与服务器的数据传输未加密。危害：攻击者可能通过劫持ARP欺骗、嗅探Sniffer、等手段截获敏感数据，若获取用户名和密码信息，可以进入到系统当中。漏洞挖掘： 1、查看是否使用HTTPS协议 2、用户名、密码是否加密

任意用户注册

利用：在登录框处输入手机号，密码，验证码随便填，Burp抓包，尝试验证码爆破

下图作用是可以抓到返回包并可修改返回值：

任意密码重置

任意账号密码重置的6种方法：

短信验证码回传 ：通过手机找回密码，响应包含有短信验证码。 修改用户名、用户ID或手机号重置任意账号密码 :通过手机找回密码一般需要短信验证码验证。当我们输入正确的手机号和正确的短信验证码，然后进入重置密码的最后一步，也就是输入新的密码输入密码后提交到服务端的post数据包需要包含当前用户的身份信息。而一般网站是通过用户名或用户ID来标识用户身份的，如果这个用户名或用户ID没有和当前手机号、短信验证码进行绑定；也就是说服务端只验证用户名、ID是否存在，而不去验证用户和当前手机号是否匹配，那么我们就可以通过修改用户名、ID去修改其他用户的密码了。也可以修改的地方不限于找回密码的数据包，比如修改资料的地方也可能存在这样的漏洞。修复建议：用户操作个人信息时，服务端要对当前用户身份进行验证，防止越权操作；用来标识用户身份的名称或ID可以使用自定义加密，也可以隐藏这些参数，直接从cookie中获取用户信息；用户修改密码时应该先对旧密码进行验证，或者使用手机短信验证；用户修改手机号时需要先对原手机号进行验证。
修改响应包重置任意账号密码 ：通过手机找回密码一般需要短信验证码验证，服务端需要告诉客户端，输入的验证码是否正确。如果客户端收到true的信息，那么就会向带着true的信息向服务端请求进入下一步，而服务端收到true的信息，就会允许客户端进入下一步。反之，如果是false的信息，服务端就不会允许客户端进入下一步。所以我们进入下一步的关键是让服务端收到客户端的true信息。而通过Burpsuite，我们可以修改服务端返回到客户端的信息，这样一来，我们就可以输入任意短信验证码，然后将服务端返回的false信息改为true就可以绕过短信验证码的验证了。

修复建议：服务端对验证码进行验证，结果为true时直接跳到下一步，无需向客户端单独返回验证结果；输入新的密码，然后提交到服务端，服务端应对当前用户名、手机号、短信验证码进行二次匹配验证，都为true时，才可以修改成功。

跳过验证步骤重置任意账号密码 ：找回密码流程一般需要四个步骤：1、验证用户名；2、验证短信验证码；3、输入新密码；4、重置成功。

利用思路：第一步正常输入用户名，第二部输入任意验证码，直接访问输入新密码，重置密码。原因：当我们输入新的密码后，提交到服务端，服务端并没有对当前用户身份进行二次验证，只是简单的获取到用户名或ID以及新密码，从而导致跳过短信验证码验证重置任意账号密码。修复建议：每一个步骤都要对前一个步骤进行验证；最后提交新密码时应对当前用户名或ID、手机号、短信验证码进行二次匹配验证。

重置密码链接中token值未验证或不失效导致任意账号密码重置 ：使用邮箱重置密码时，服务端向邮箱发送一个重置密码的链接，链接中包含当前用户的身份信息和一个随机生成的token信息，如果未对token值进行验证或是验证后不失效，我们就可以通过修改用户名或用户ID来重置任意账号密码。

修复建议：服务端对客户端提交的token值进行验证；保证token值使用一次后即失效，防止重复使用；对用户ID进行自定义加密；使用根据用户ID生成的token值来标识用户，链接中不携带用户ID。

找回密码的短信验证码可被爆破导致任意账号密码重置 ：找回密码时使用位数较少的短信验证码，或者验证码没有设置有效时间限制，导致攻击者借助自动化工具（例如Burp）进行爆破获得短信验证码，从而导致重置任意账号密码。

修复建议：验证码满足一定复杂度，且限制验证码生效时间；验证短信验证码的数据包使用token值并验证，防止自动化工具爆破

弱口令

短信相关漏洞

短信轰炸

短信炸弹是利用互联网第三方接口发送垃圾短信轰炸，只需输入手机号码就可以利用网络短信无限轰炸对方手机，具有恶意骚扰功能的软件。

短信验证码暴破

例如：用Burp暴破或脚本暴破。

验证码回显

思路：登录接收验证码时，Burp抓包，可以看到验证码回显在返回包中。

万能验证码

类似于弱口令，程序员开发为了方便，设置比较简单，例如8888、0000等。

验证码失效、未与用户绑定。

二、搜索框存在什么漏洞？

SQL注入:SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的”数据”拼接到SQL语句中后，被当作SQL语句的一部分执行，从而导致数据库被增、删、改、查的危害。
xss漏洞

三、新增主题、添加用户处存在什么漏洞

越权
sql注入
文件上传
未授权登录
csrf

四、导入、导出excel处存在什么漏洞

任意文件读取、下载
任意文件上传漏洞
xxe

五、内容编辑处存在什么漏洞

xss
sql注入
越权
文件上传
编辑器：fckeditor、ueditor

六、修改头像处

文件上传：getshell、xss
越权

七、页面内容浏览处一般存在漏洞

越权
sql注入学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。