文字版本 柯林斯-民间新秀 公众号 提供
图文版本还未整理出来
在话剧《暗恋桃花源》里,一切都停止了,这夜晚停止了,那月亮停止了,那街灯,这个秋千,你和我都停止了。
每个人创造属于自己的绝对领域,波涛如怒,前路沉浮。
这大概就是每个人面对职业理想时的“标准剧本”。
所谓白帽子,全称应该是“白帽子黑客”,他们像一剂疫苗,帮助企业和政府测试系统中存在的漏洞,及时修复以免于被坏人入侵。
互联网时代的大潮越汹涌,白帽子越成为一个不可忽视的职业。
有人把他们比作金庸式的侠客,因为这个职业的精神内核无疑是惩恶扬善。有人把他们视为又一种程序员,因为企业会根据他们提交漏洞代码的“危险程度”,付给他们报酬。
有人把他们看做危险和不确定性,因为白帽子的后缀词终究是“黑客”,人们大多对黑客二字抱有一种复杂的“敬畏”。
1、任何一条职业道路,都需要靠金钱来指引。
2、任何一条职业道路,也都需要成就感来加持。
因此凝聚了这样一批白帽子:
1、他们热爱荣誉,却深知诱惑的东西,同样有危险的一面。
2、他们更多地询问自己的内心,把“白帽子”作为一种职业,尊重规则而不是情绪。
3、他们要先学会用脑,再学会用剑。
但就像罗曼·罗兰所说:世界上只有一种英雄主义,就是看清生活的真相之后依然热爱生活。
每一次自己或他人走入歧路,都至少关闭了一种错误的可能。余下的选择虽然艰险,但在最远处可以看到一丝光亮。
我深知民间新秀不一定会成功,但梦想总是值得一试。正如《勇敢的心》中那句台词:我们不需要胜利,只需要战斗。
团队的目标是获得业内中下好的口碑。但仅仅是这个小目标,也许就需要五年、十年的坚持付出。这是一条更为漫长、更为水滴石穿的路。
问题在于,我背后的人员是否能够地支撑起这样一个跨时间之久的计划?
我试着站在半山腰的角度来观察。
民间新秀是一个位于学生和安全研究员之间的安全问题平台,
在对安全问题进行反馈处理跟进的同时,也为研究员提供一个公益、学习、交流和研究的平台。
本人于今年3月份正式学习网络安全,期间遇到了许多问题,为此
安服:作为一个免费学习、互相交流的平台,民间新秀最重要的使命就是尊重。我观察到有些新手白帽子将漏洞挖出来,缺乏安全意识,并不清楚是否是可以进行测试的网站。为此来私信我,说是不小心打的网站。新手建议的是挖教育src,需要合规测试。本人提供的一切技术都是合规操作,并未泄露公民信息或者暗示等信息来打破学习参考的界限。
进步:我们更多关注的是技术本身,而并非一些杂乱的闲事,以及黑产文化入侵。家庭情况不好就去做黑产,这样会来钱快一点。
对于团队来说,这是零容忍的,是不允许的。如果有一切违法行为,定将上报给各大安全厂商以及司法机关。
意义:我们坚信一切存在的事物都是有意义的,也相信民间新秀能够给各大企业、院校、厂商带来价值,和白帽子的正确价值观。安全研究人员可以通过群内的技术发布自己的成果。记得打码、脱敏、不带有公司名称、私密信息,或者危害信息出来。展示自己的实力之后,团队也将会推荐相应的岗位、职位、人脉、知识,但更为深远的价值和意义在于,我们对于社会、对于人民、还有企业要担起责任,做一位优质、品德、技术兼具的白帽子。
交流平台创建时间为2024年8月1日10点38分。目前群内汇集了二进制、web安全、红队、src的安全研究者,别的领域并未涉及到。
仅作学习,仅作参考。学习网络安全,要先学习网络安全法,响应国家号召,不做违法之事。要为人民服务,担起社会责任。
在群内学习并不收费,需要进群的直接公众号私信我,进群需要签一个小文件,防止恶意测试,等违规操作,就是因为有这样的情况,才出此下策。
一切皆为开源,能帮助的我都会帮。
在此,向各位同行,各位师傅致敬,也向带过我的师傅在次表示感谢。
如下开始正式内容 请勿拿着测试方法去做非法行为
都是合规测试
1.1 业务逻辑测试
本章节根据典型业务场景划分了多类案例集合。测试人员在执行业务逻辑测试时,应根据待测业务功能的特征匹配对应的业务场景测试案例,逐条实施案例验证是否存在业务逻辑漏洞。测试执行时,须满足如下原则:
- 业务逻辑测试中涉及的所有报文,在完成本章节中各业务场景包含的测试案例的同时,还需完成前文涉及的所有相关案例,如会话管理、敏感信息泄露、输入有效性验证等。
- 如待测业务场景A中涉及其他业务场景B(如登录场景中可能涉及密码认证场景,购买场景中可能涉及支付场景等),则需完成A和B的所有测试案例;
- 如待测字段采用常见弱加密方式(如base64编码、URL编码等)加密,则解密后进行测试;
- 如存在多个同类待测字段,则需考虑各字段排列组合的情况。
1.1.1 认证要素类业务
1.1.1.1 密码验证场景业务逻辑测试
测试描述:通过抓包工具分析密码输入场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:密码验证场景
测试工具:抓包工具
测试用例:
测试前置:具有身份认证功能的系统,对存在form表单在input标签为password属性的字段的接口进行测试。
用例一:通过抓包工具的代理模块抓包,查看密码字段信息是否为明文,如果加密,则验证是否为常见弱加密方式(如base64编码、URL编码等)。
测试预期:如上送报文中密码字段为明文,则存在密码字段未使用字段级加密漏洞;若上送报文中密码字段为常见弱加密方式,则存在密码字段加密强度不足漏洞。
用例二:若密码字段未限制错误次数,则存在密码字段可爆破漏洞,或可以使用其他方式构造自动化脚本破解密码字段加密内容的情况,测试人员使用抓包工具的intruder模块或定制脚本利用标准弱密码字典进行爆破。对于内网测试环境,应调整表标准弱密码的顺序,将正确的密码置于爆破次序的后50%
测试预期:如可执行爆破流程,则存在密码爆破漏洞;同时能获取正确的弱密码,则存在弱口令漏洞。
用例三:输入错误的密码,通过抓包工具的代理模块截断报文,构造成功的响应内容
测试预期:如获取验证成功后的用户权限,则存在密码验证场景的工作流程逃逸漏洞。
测试前置:具有身份认证功能的系统,在抓取的数据包有关username、cardId、 phoneId等用户身份标识字段的接口进行测试。
用例一:通过抓包工具的代理模块获取包含标识用户身份的字段的报文,然后构造至少包含5个用户名的字典,利用同一个密码对不同的用户名进行爆破。对于内网环境,其中第一个和最后一个应为测试环境存在且具备相同的密码的用户名,
测试预期:如可执行爆破流程获取正确的用户名-密钥对,则存在密码喷洒漏洞。
1.1.1.2 短信、语音、邮箱验证码场景业务逻辑测试
测试描述:通过抓包工具分析短信、语音、邮箱验证码场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:短信、语音、邮箱验证码场景
测试工具:抓包工具
测试用例:
测试前置:具有身份认证功能的系统,对获取验证码报文的接口进行测试。
用例一:利用抓包工具Intruder模块短时间内大量发送获取验证码的报文,验证是否能收到多条验证码。
测试预期:如所有测试报文或超过合理数量未返回异常且成功收到验证码则存在短信炸弹漏洞。
用例二:利用抓包工具的代理模块查看获取验证码接口的响应报文,验证是否返回验证码到前端。
测试预期:如响应报文中包含验证码,则存在验证码返显漏洞。
用例三:进入验证码验证流程,使用验证码A进行验证,查看能否通过验证。
测试预期:如能使用验证码A再次通过验证,则存在验证码多次有效漏洞。
用例四:测试完用例三后进行此步测试,正常完成待测场景验证流程,记录使用的验证码A。如后续流程中存在验证码场景,则在该场景使用验证码A进行验证,查看能否通过后续验证场景。
测试预期:如能使用验证码A通过后续流程验证,则存在验证码多次有效漏洞。
用例五:测试完用例四后进行此步测试,正常完成待测场景验证流程,记录使用的验证码A。进入同系统内其他验证码场景,使用验证码A进行验证,查看能否通过验证场景。
测试预期:如能使用验证码A通过其他验证场景,则存在验证码多次有效漏洞。
用例六:利用抓包工具代理模块截断验证码上送报文,将验证码字段置空后重新发送报文,查看能否通过验证场景。
测试预期:如能通过验证流程并最终实现业务目标,则存在短信验证码绕过漏洞。
用例七:测试完用例六,如不满足测试预期则执行此步骤。利用抓包工具代理模块截断验证码上送报文,将验证码字段删除后重新发送报文,查看能否通过验证场景。
测试预期:如能通过验证流程并最终实现业务目标,则存在短信验证码绕过漏洞。
用例八:测试完用例六、七,如不满足测试预期则执行此步骤。输入一个错误的验证码,使用抓包工具代理模块截断上送验证码报文的响应报文,篡改标志位字段为标识成功的标志位,查看能否通过验证场景。
测试预期:如能通过验证流程并最终实现业务目标,则存在短信验证码绕过漏洞。
测试前置:具有身份认证功能的系统,对数据包中有关 phone、email等标识验证码接收对象的字段的接口进行测试
用例一:使用抓包工具代理模块截断获取验证码的报文,查看其中是否含有验证码接收对象的信息,如手机号、邮箱、用户名等。若存在,则篡改该字段为攻击人的对应信息。如存在多个标识字段,则需考虑各字段排列组合的情况。
测试预期:如果篡改后的攻击人能成功收到验证码并最终通过验证获取受害人的业务权限,则存在验证码场景的水平越权漏洞。
用例二:使用抓包工具代理模块截断上送验证码的报文,查看其中是否含有用户身份标识信息,如用户名、卡号、手机号、邮箱等。若存在,则篡改该字段为攻击人的对应信息。如存在多个标识字段,则需考虑各字段排列组合的情况。若不满足用例一,则截取篡改后报文的返回包,篡改标志位字段为标识成功的标志位,查看能否通过验证场景。
测试预期:如果篡改后可以正常完成验证流程,则存在验证码场景的水平越权漏洞。
1.1.1.3 图形验证码场景业务逻辑测试
测试描述:通过抓包工具分析图形验证码场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。
测试标签:WEB应用安全测试
业务场景:图形验证码场景
测试工具:抓包工具
测试用例:
测试前置:具有身份认证功能的系,对含有验证码字段的接口进行测试。
用例一:利用抓包工具代理模块截断验证码上送报文,将验证码字段置空后重新发送报文,查看能否通过验证。
测试预期:如能通过验证流程并最终实现业务目标,则存在图形验证码绕过漏洞。
用例二:测试完用例一,如不满足测试预期则执行此步骤。利用抓包工具代理模块截断验证码上送报文,将验证码字段删除后重新发送报文,查看能否通过验证场景。
测试预期:如能通过验证流程并最终实现业务目标,则存在图形验证码绕过漏洞。
用例三:测试完用例一、二,如不满足测试预期则执行此步骤。输入一个错误的验证码,使用抓包工具代理模块截断上送验证码验证的报文的响应报文,篡改标志位字段为成功的标志位,查看能否通过验证场景。
测试预期:如能通过验证流程并最终实现业务目标,则存在短信验证码绕过漏洞。
用例四:利用抓包工具的代理模块查看获取验证码接口的响应报文,验证是否返回验证码到前端。
测试预期:如响应报文中包含验证码,则存在验证码返显漏洞。
1.1.1.4 生物特征识别场景业务逻辑测试
测试描述:通过抓包工具分析生物特征识别(包含人脸、指纹、声纹等)场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。
测试标签:WEB应用安全测试
业务场景:生物特征识别场景
测试工具:抓包工具
测试用例:
测试前置:具具有身份认证功能的系统,对数据包中有关username、cardid、phone等用户身份标识字段的接口进行测试。
用例一:通过抓包工具代理模块拦截报文,篡改用户身份标识字段为攻击人的身份标识,验证能否使用攻击人的生物特征通过验证。
测试预期:如可使用攻击人的生物特征信息通过验证并获取到受害人的业务权限,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关生物特征信息的字段。
用例一:攻击人使用自己的生物特征触发受害人账户的生物特征识别验证,利用抓包工具的代理模块截断生物信息上送的报文,查看上送的生物信息是否为简单编码(如base64编码,URL编码,16进制字符串等),若为简单编码则尝试使用通过其他技术手段(如将受害人照片转化为base64编码形式)直接构造受害人的特征数据替换原有数据,验证是否能通过验证。
测试预期:如可通过生物特征验证,则存在生物特征识别绕过漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关验证结果的标志位字段。
用例一:使用错误的生物特征进行识别,用抓包工具代理模块截断包含验证结果的响应报文,篡改标志位字段为标识成功的标志位,查看能否通过验证场景。
测试预期:如可通过生物特征验证并最终实现业务目标,则存在生物特征识别绕过漏洞。
1.1.1.5 K宝K令场景业务逻辑测试
测试描述:通过抓包工具分析K宝K令场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。
测试标签:WEB应用安全测试
业务场景:K宝K令场景
测试工具:抓包工具
测试用例:
测试前置:K宝K令输入方式。
用例一:查看K宝K令输入时是否使用安全控件。
测试预期:如未使用安全控件,则存在未使用安全控件缺陷。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关K令的字段。
用例一:通过抓包工具的代理模块抓包,查看K令字段信息是否为明文,或使用常见的弱密码(如Base64,URL编码等)加密。
测试预期:如上送报文中密码字段为明文,则存在K令字段未使用字段级加密漏洞;若上送报文中K令字段使用常见弱加密方式,则存在K令字段加密强度不足漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关验证结果的标志位字段。
用例一:提交错误的K令,用抓包工具代理模块截断包含验证结果的响应报文,篡改标志位字段为标识成功的标志位,查看能否通过验证场景。
测试预期:如可通过验证并最终实现业务目标,则存在K宝K令绕过漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关用户名、卡号、手机号等用户身份标识字段。
用例一:通过抓包工具代理模块截断K宝K令业务流程中包含标识用户身份字段的报文,篡改字段为其他用户信息,验证能否通过验证获取受害人的业务权限。如存在多个标识字段,则需考虑各字段排列组合的情况。通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证能否完成K宝K令验证并获取受害人的业务权限。
测试预期:如可通过验证并获取到受害人的业务权限,则存在水平越权漏洞。
1.1.1.6 滑动验证场景业务逻辑测试
测试描述:通过抓包工具分析滑动验证场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。
测试标签:WEB应用安全测试
业务场景:滑动验证场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)验证字段。
用例一:使用抓包工具代理模块获取验证提交报文,查看滑动验证提交内容。
测试预期:若提交内容为标志位或仅为前端验证流程,则存在滑动验证场景的工作流程逃逸漏洞。
测试前置:涉及的业务场景,包括但不限于HTML静态资源,HTTP或https数据包中(header、get、post body等区域)数据。
用例一:分析滑动验证功能所在页面静态资源以及通信报文中是否存在泄露滑动验证成功需要提交的内容,例如在页面静态资源中发现滑块正确位置数值为123,利用抓包工具代理模块构造报文以123作为滑块验证的提交字段。
测试预期:若成功通过滑动验证且实现业务目标,则存在滑动验证绕过漏洞。
1.1.2 登录类业务
1.1.2.1 登录场景业务逻辑测试
测试描述:通过抓包工具分析登录场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式(如某登录场景涉及密码验证和短信验证码,则验证部分的测试方式参考9.10.1.1和9.10.1.2章节)。
测试标签:WEB应用安全测试
业务场景:涉及登录的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及包含登陆的业务场景
用例一:通过抓包工具的intruder模块,使用其他方式获取的用户名字典(如信息泄露,fuzzing等)对、卡号、手机号等标识用户身份的字段进行爆破。
测试预期:对于内网测试环境,构造包含100个用户名的字典,其中第一个和最后一个应为测试环境存在的用户名,如可执行爆破流程且可以通过返回报文的长度、内容等信息判断用户名是否存在,则存在用户名枚举漏洞;对于生产运行环境,如在一次爆破中能成功获取多个用户名存在的信息,则存在用户名枚举漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户名、卡号、手机号等用户身份标识字段为同权限受害人的身份标识,验证登录。
测试预期:如可登录受害人账户,则存在水平越权漏洞
用例三:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为更高权限受害人的身份标识,验证登录。
测试预期:如可获取高等级或高权限用户的权限,则存在登录场景的垂直越权登录。
用例四:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期:如可略过业务设置中不允许略过的业务流程(如原有验证流程为密码验证+人脸识别,通过篡改报文中标志位跳过了人脸识别环节登录)或进入与用户权限不相符的业务流程(如用户权限仅能使用密码登录,通过篡改标志位使用短信验证码登录),并最终完成登录验证,则存在工作流程逃逸漏洞。
用例五:通过抓包工具的代理模块获取登录报文,利用Intruder模块对账户和密码同时进行遍历,查看能否触发密码错误上限批量锁定账户。
测试预期:如能批量锁定账户,则存在恶意锁定漏洞。
1.1.2.2 登出场景业务逻辑测试
测试描述:通过抓包工具分析登出场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:登出场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:同时在两个浏览器或两个设备上登录账户A和账户B两个用户,通过抓包工具的代理模块拦截账户A登出流程报文,篡改用户身份标识字段为账户B的身份标识,验证账户状态。
测试预期:如账户B失去登录状态,则存在水平越权漏洞。
1.1.3 账户管理类业务
1.1.3.1 注册场景业务逻辑测试
测试描述:通过抓包工具分析注册场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:注册场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)username(可能为username、手机号、邮箱等)字段。
用例一:使用抓包工具代理模块拦截含有待注册用户名的报文,利用intruder模块结合用户名规则,对用户名进行枚举,查看能否枚举出其他用户的注册信息。
测试预期:如能通过报文返回内容判断出用户存在与否,则存在枚举用户名漏洞。
用例二:使用抓包工具代理模块拦截含有待注册用户名的报文,利用intruder模块对用户名进行枚举,查看能都否批量注册用户。
测试预期:如能成功批量注册用户,则存在批量注册漏洞。
测试前置:涉及的业务场景注册执行报文。
用例一:使用抓包工具代理模块获取执行注册的报文或流程,利用重放模块再次发送报文,查看能否重复注册同一个用户。
测试预期:如能重复注册一个用户,则存在重复注册漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期:如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成注册,则存在工作流程逃逸漏洞。
1.1.3.2 注销场景业务逻辑测试
测试描述:通过抓包工具分析注销场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:注销场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证账户状态。
测试预期:如可注销受害人账户,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期::如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成注销,则存在工作流程逃逸漏洞。
1.1.3.3 账户权限变更场景业务逻辑测试
测试描述:通过抓包工具分析账户权限变更场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:账户权限变更场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证账户权限。
测试预期:如可变更受害人账户权限,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期:如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成账户权限变更,则存在工作流程逃逸漏洞。
1.1.3.4 账户暂停/恢复场景业务逻辑测试
测试描述:通过抓包工具分析账户暂停/恢复场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:账户暂停/恢复场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证账户状态。
测试预期:如可暂停或恢复受害人账户,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期::如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成还在账户暂停/恢复业务,则存在工作流程逃逸漏洞。
1.1.4 密码管理类业务
1.1.4.1 密码修改场景业务逻辑测试
测试描述:通过抓包工具分析密码修改场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:密码修改场景
测试工具:抓包工具
测试用例:
测试前置:涉及涉及的业务场景,获取from表单中,input标签为password属性的字段
用例一:通过抓包工具的代理模块抓包,查看密码字段信息是否为明文,如果加密,则验证是否为常见弱加密方式(如base64编码、URL编码等)。
测试预期:如上送报文中密码字段为明文,则存在密码字段未使用字段级加密漏洞;若上送报文中密码字段为常见弱加密方式,则存在密码字段加密强度不足漏洞。
用例二:若原密码字段未限制错误次数,同在存在密码字段未使用字段级加密漏洞/加密强度不足漏洞,或可以使用其他方式构造自动化脚本破解密码字段加密内容的情况,测试人员使用抓包工具的intruder模块或定制脚本利用标准弱密码字典进行爆破。对于内网测试环境,应调整表标准弱密码的顺序,将正确的密码置于爆破次序的后50%
测试预期:如可执行爆破流程且获取正确的密码,则存在弱密码爆破漏洞
用例三:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期:如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成密码修改业务,则存在工作流程逃逸漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证密码修改情况。
测试预期:如可修改受害人密码,则存在水平越权漏洞。
1.1.4.2 密码找回场景业务逻辑测试
测试描述:通过抓包工具分析密码找回场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:密码找回场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,涉及涉及的业务场景,获取from表单中,input标签为password属性的字段。
用例一:通过抓包工具的代理模块抓包,查看密码字段信息是否为明文,如果加密,则验证是否为常见弱加密方式(如base64编码、URL编码等)。
测试预期:如上送报文中密码字段为明文,则存在密码字段未使用字段级加密漏洞;若上送报文中密码字段为常见弱加密方式,则存在密码字段加密强度不足漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证密码修改情况。
测试预期:如可修改受害人密码,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期::如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成密码找回业务,则存在工作流程逃逸漏洞。
1.1.5 信息查询及维护类业务
1.1.5.1 信息查询场景业务逻辑测试
测试描述:通过抓包工具分析信息查询场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:信息查询场景(包括但不限于客户信息查询和金融交易信息查询)
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关用户名、卡号、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证能否查询受害人交易信息。
测试预期:如可查询查询受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证能否查询受害人交易信息。
测试预期:如可查询查询受害人的信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询受害人业务信息。
测试预期:如可查询受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询受害人交易信息。
测试预期:如可查询受害人的业务信息,则存在垂直越权漏洞。
1.1.5.2 信息修改场景业务逻辑测试
测试描述:通过抓包工具分析信息修改场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:涉及客户信息修改和金融交易修改的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证查询/修改的信息归属。
测试预期:如可查询/修改归属受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证查询/修改的信息归属。
测试预期:如可查询/修改归属受害人的信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询/修改受害人业务信息。
测试预期:如可查询/修改受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询/修改受害人交易信息。
测试预期:如可查询/修改受害人的业务信息,则存在垂直越权漏洞。
1.1.5.3 信息导出/下载场景业务逻辑测试
测试描述:通过抓包工具分析信息导出/下载场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:涉及客户信息修改和金融交易信息导出/下载的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关用户名、卡号、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证查询/导出/下载的信息归属。
测试预期:如可查询/导出/下载归属受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证查询/导出/下载的信息归属。
测试预期:如可查询/导出/下载归属受害人的信息,则存在垂直越权漏洞。
用例三:通过抓包工具的代理模块抓包,查看有关文件名、文件编号的字段是否为明文,如果是明文,则将其修改为其他平行用户的文件名、文件编号的信息;如果加密,则验证是否为常见弱加密方式(如base64编码、URL编码等),如果是,则解密后再次进行如上操作替换字段。
测试预期:如上替换文件名、文件编号的信息后,可导出/下载其他用户的用户信息文件,则存在任意文件下载漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询/导出/下载受害人业务信息。
测试预期:如可查询/导出/下载受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询/导出/下载受害人交易信息。
测试预期:如可查询/导出/下载受害人的业务信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)下载路径字段。
用例一:通过抓包工具的代理模块拦截报文,篡改下载路径字段为系统敏感文件路径(如/etc/passwd),验证能否下载目标文件。
测试预期:如可下载目标文件,则存在任意文件下载漏洞
1.1.5.4 信息删除场景业务逻辑测试
测试描述:通过抓包工具分析信息删除场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:涉及客户信息修改和金融交易删除的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证查询/删除的信息归属。
测试预期:如可查询/删除归属受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证查询/删除的信息归属。
测试预期:如可查询/删除归属受害人的信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询/删除受害人业务信息。
测试预期:如可查询/删除受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询/删除受害人交易信息。
测试预期:如可查询/删除受害人的业务信息,则存在垂直越权漏洞
没有回复内容