- 0x1 前言
- 0x2 资产测绘
- 0x3短信轰炸/验证码可爆破漏洞
- 1、短信轰炸
- 2、验证码爆破
- 3、修复建议:
- 0x4 任意用户注册漏洞
- 0x5 SPF邮件伪造漏洞
- 1、spf邮件伪造漏洞简介:
- 2、漏洞危害:
- 3、测试漏洞
- 4、SPF解析不当导致绕过
- 5、swaks 测试
- 6、浅谈
- 0x6 总结
哈喽,师傅们!
这次给师傅们分享的是前段时间给某单位的一个众测项目,跟着几个大牛师傅一起做的项目,这次就给师傅们分享两个我自己挖的几个不敏感的漏洞,放上去给师傅们演示下,然后给师傅们分享下,让师傅们能够对短信轰炸/验证码可爆破/任意用户注册/spf邮件伪造漏洞有一个更加深刻的感触,然后也让师傅们感受下众测。
首先众测之前都会先给我们发一个资产的汇总表格,然后让我们跟着这个资产表格去打相关的资产,这个过程中资产收集和信息收集就很重要了,在这个过程中很多师傅们在收集边缘资产的时候,很容易打偏,导致众测甲方不收这个漏洞,说通俗点也就是没有钱。
下面这个是我前段时间的一个众测的一个资产表格,有域名、IP然后就是app、web站点、微信小程序等资产。
1、灯塔/无影工具
img alt="" src="https://nc0.cdn.zkaq.cn/md/21977/1a35750c5dd12f28daeb3239f129b36d_14995.png">
然后等着灯塔扫描完成以后,就可以在资产里面查看扫描结果了
需要注意的是这里的POC建议不上,直接上指纹就可以了,因为上POC很多安全设备之类的就容易把你的IP给ban了
像打POC的话可以单独使用无影这个工具或者其他的工具也可以
2、POC平台
说到利用POC了,那么我给师傅们推荐下DayDayPOC这个站点,里面的POC还是写的蛮详细的,比如在网上一些POC不公开,在里面很多都是可以找到的
网站:https://www.ddpoc.com/
你像比如最新出的一些漏洞,这个平台都有,我们查看这个站点的POC的时候需要提前注册登录下
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/qdvuejs/13654.html