记一次存在于网页源码中的渗透测试突破口

存在于网页中的渗透测试突破口

大家好网页上验证码不显示，又是一个写文章的好日子，现在是2019年12月26日晚上11点零7分。

昨天是圣诞节，本来这个文章都写了一半了，准备昨天晚上发出来的，结果太困，去睡觉了，结果家里人换灯泡，关了下电闸，忘了保存，，，上来之后还显示有草稿，结果刷新了一下，就没了。

有些难受，不过没事，从新写反而写的会更好，在之前的文章活动中，终于有一位大佬来找我提交奇葩漏洞了，恭喜他获得十元红包。

活动结束，说好的十个红包，居然只有一个人来领，果然是两千多个假粉丝。

好了废话不多说，今天的这个案例是我昨天下午发现的，很有意思，大家先看一下。

还是老规矩，把重要信息打码，首先，这个是某省教育研究系统，界面设计的很有意思，很有活力的感觉。

第一眼看到这个系统的时候，没有像上次那样一通乱搞，而是先瞄准了这个地方。

万一有密码重置漏洞呢。。。就不用费那么事情了，点击找回。

发现要输入姓名，遇到这个新手还在扣脚趾头，而我们这些老油条已经知道，我燕双鹰要赌一把，就赌你的系统里没有“王伟”。

结果很不幸.............

不要问我为什么要赌王伟存不存在，你们身边就没个叫王伟的？中国top前五百姓名排行榜当中的前三的存在网页上验证码不显示，不试一下你都不知道什么叫遍地是王伟，列举一下前十。

中国同名同姓的姓名排行榜

01.张 伟 299025个

02.王 伟 290619个

03.王 芳 277293个

04.李 伟 269453个

05.李 娜 258581个

06.张 敏 245553个

07.李 静 243644个

08.王 静 243339个

09.刘 伟 241621个

10.王秀英 241189个

我知道你们有些人肯定有百度都懒得上去搜，所以我已经准备好了，文章末尾附上，回复即可下载。

继续回到主题，既然人都出来了，那就继续往下看，但机智的我已经猜到下面即将是手机验证，，，，，

这，，就尴尬了，，，怎么办呢，，，想到有种方法，就是生成这个号段的所有后四位的号码，然后通过阿里的api验证存活，到验证归属地来测试，，，但是明显太麻烦了，，于是，抱着试一试的心态，只能审查元素看看了，，，没想到，人生处处是惊喜，，

，，居然把电话号码反馈到网页源代码了，，因为怕人说我编的，就留下后两位数，，和前面相互印证，，，

验证码两个小时都不过期，，，因为没有账号，不知道是数字验证码还是数字和字母组合的验证码，更不知道4位还是6位，，，后面的操作还是算了，提交了就完事儿，，，

最后，我在网上又找了一个案例，一个叫老王提交的一个腾讯的敏感信息泄露漏洞，大家可以看看，我就编辑复制一下发给大家看吧。

首先是腾讯某站，在审查元素页面泄露了网站运营的QQ号。

如下 URL 请求是通过 请求个人 信息 泄露出来的 URL

输入到QQ=里面，泄露出了电话号码。

就是这样，以后大家注意一下这个东西就行了。

文章的最后，我燕双鹰在赌上一把，赌你的系统里没有 “李伟”

好吧，是在下燕双鹰输了，你的枪里确实有子弹。。

wode

公众号回复 “500” 即可获取！排行前五百姓名＋拼音字典。