存在于网页中的渗透测试突破口
大家好网页上验证码不显示,又是一个写文章的好日子,现在是2019年12月26日晚上11点零7分。
昨天是圣诞节,本来这个文章都写了一半了,准备昨天晚上发出来的,结果太困,去睡觉了,结果家里人换灯泡,关了下电闸,忘了保存,,,上来之后还显示有草稿,结果刷新了一下,就没了。
有些难受,不过没事,从新写反而写的会更好,在之前的文章活动中,终于有一位大佬来找我提交奇葩漏洞了,恭喜他获得十元红包。
活动结束,说好的十个红包,居然只有一个人来领,果然是两千多个假粉丝。
好了废话不多说,今天的这个案例是我昨天下午发现的,很有意思,大家先看一下。
还是老规矩,把重要信息打码,首先,这个是某省教育研究系统,界面设计的很有意思,很有活力的感觉。
第一眼看到这个系统的时候,没有像上次那样一通乱搞,而是先瞄准了这个地方。
万一有密码重置漏洞呢。。。就不用费那么事情了,点击找回。
发现要输入姓名,遇到这个新手还在扣脚趾头,而我们这些老油条已经知道,我燕双鹰要赌一把,就赌你的系统里没有“王伟”。
结果很不幸.............
不要问我为什么要赌王伟存不存在,你们身边就没个叫王伟的?中国top前五百姓名排行榜当中的前三的存在网页上验证码不显示,不试一下你都不知道什么叫遍地是王伟,列举一下前十。
中国同名同姓的姓名排行榜
01.张 伟 299025个
02.王 伟 290619个
03.王 芳 277293个
04.李 伟 269453个
05.李 娜 258581个
06.张 敏 245553个
07.李 静 243644个
08.王 静 243339个
09.刘 伟 241621个
10.王秀英 241189个
我知道你们有些人肯定有百度都懒得上去搜,所以我已经准备好了,文章末尾附上,回复即可下载。
继续回到主题,既然人都出来了,那就继续往下看,但机智的我已经猜到下面即将是手机验证,,,,,
这,,就尴尬了,,,怎么办呢,,,想到有种方法,就是生成这个号段的所有后四位的号码,然后通过阿里的api验证存活,到验证归属地来测试,,,但是明显太麻烦了,,于是,抱着试一试的心态,只能审查元素看看了,,,没想到,人生处处是惊喜,,
,,居然把电话号码反馈到网页源代码了,,因为怕人说我编的,就留下后两位数,,和前面相互印证,,,
验证码两个小时都不过期,,,因为没有账号,不知道是数字验证码还是数字和字母组合的验证码,更不知道4位还是6位,,,后面的操作还是算了,提交了就完事儿,,,
最后,我在网上又找了一个案例,一个叫老王提交的一个腾讯的敏感信息泄露漏洞,大家可以看看,我就编辑复制一下发给大家看吧。
首先是腾讯某站,在审查元素页面泄露了网站运营的QQ号。
如下 URL 请求是通过 请求个人 信息 泄露出来的 URL
输入到QQ=里面,泄露出了电话号码。
就是这样,以后大家注意一下这个东西就行了。
文章的最后,我燕双鹰在赌上一把,赌你的系统里没有 “李伟”
好吧,是在下燕双鹰输了,你的枪里确实有子弹。。
wode
公众号回复 “500” 即可获取!排行前五百姓名+拼音字典。
版权声明
本文仅代表作者观点。
本文系作者授权发表,未经许可,不得转载。
发表评论