2020年5月13日
各功能点漏洞测试项四(政务行业)
摘要: ♥♥♥♥♥♥ 一、登录 业务逻辑漏洞:暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过; 二、注册 业务逻辑漏洞:恶意用户批量注册、恶意验证注册账户、存储型xss; 三、密码找回 业务逻辑漏洞:重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改; 阅读全文
posted @ 2020-05-13 15:37 雨沁馨梦 阅读(140) 评论(0) 推荐(0) 编辑
各功能点漏洞测试项三(电商行业)
摘要: 一、登录 业务逻辑漏洞:暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过; 二、注册 业务逻辑漏洞:恶意用户批量注册、恶意验证注册账户、存储型xss; 三、密码找回 业务逻辑漏洞:重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改; 四、购买支付 阅读全文
posted @ 2020-05-13 15:30 雨沁馨梦 阅读(325) 评论(0) 推荐(0) 编辑
各功能点漏洞测试项二(P2P金融行业)
摘要: 一、登录 业务逻辑漏洞:暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过; 二、注册 业务逻辑漏洞:恶意用户批量注册、恶意验证注册账户、存储型xss; 三、密码找回 业务逻辑漏洞:重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改; 四、购买支付 阅读全文
posted @ 2020-05-13 15:17 雨沁馨梦 阅读(636) 评论(0) 推荐(0) 编辑
各功能点漏洞测试项一(互联网行业)
摘要: 一、登录 业务逻辑漏洞:暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过; 二、注册 业务逻辑漏洞:恶意用户批量注册、恶意验证注册账户、存储型xss; 三、密码找回 业务逻辑漏洞:重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改; 四、后台管理 阅读全文
posted @ 2020-05-13 14:33 雨沁馨梦 阅读(357) 评论(0) 推荐(0) 编辑
2020年3月24日
注册、登录、密码修改页面渗透测试
摘要: (1)失效的图形验证码(2)手机验证码是否可被爆破(3)手机验证码批量重放(短信炸弹)(4)注册页面批量注册(5)注册页面覆盖注册(6)网站登录页面绕过(7)任意用户密码重置 (1)失效的图形验证码在很多的注册、登录、密码修改等页面都需要用户输入图形验证码,目的是为了防止恶意攻击者进行爆破攻击。但是 阅读全文
posted @ 2020-03-24 14:12 雨沁馨梦 阅读(803) 评论(0) 推荐(0) 编辑
2020年3月14日
TCP常用 端口表
摘要: TCP常用 端口表(部分)1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器2 compressnet Management Utility compressnet 管理实用程序3 compressnet Compression Proce 阅读全文
posted @ 2020-03-14 18:56 雨沁馨梦 阅读(1163) 评论(0) 推荐(0) 编辑
基线检查
摘要: 功能描述 使用基线检查功能可自动检测服务器上的系统、账号、数据库、弱密码、合规性配置中存在的风险点,并提供加固建议。具体检测内容,请参见基线检查内容表。 基线检查默认每隔一天在00:00-06:00进行一次全面的自动检测。支持用户自行添加和管理基线扫描策略,自定义需要检查的基线项目、检查周期、检测触 阅读全文
posted @ 2020-03-14 18:50 雨沁馨梦 阅读(1606) 评论(0) 推荐(0) 编辑
2020年2月27日
Firefox浏览器安装 Disable Javascript插件
摘要: Firefox浏览器安装 Disable Javascript插件https://addons.mozilla.org/zh-CN/firefox/addon/disable-javascript/?src=search 阅读全文
posted @ 2020-02-27 09:49 雨沁馨梦 阅读(683) 评论(0) 推荐(0) 编辑
2020年2月9日
Web常见漏洞及修复建议
摘要: 1.SQL注入 漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 修复建议 代码层最佳防御sql漏洞方案:使用 阅读全文
posted @ 2020-02-09 16:02 雨沁馨梦 阅读(3196) 评论(1) 推荐(0) 编辑
查询公网出口IP
摘要: 1. 浏览器:http://api.online-service.vip/ip/me http://nstool.netease.com/ www.ip138.com http://www.ipip.net/ip.html 2. 命令行: curl api.online-service.vip/ip 阅读全文
posted @ 2020-02-09 15:33 雨沁馨梦 阅读(1707) 评论(0) 推荐(0) 编辑
下一页