前話:
對登錄方法的輕視造成一系列的漏洞出現,對接口確實鑑權造成大量的信息泄露。從小程序到web端網址的奇妙的測試就此開始。(文章厚碼,請見諒)
1. 尋找到目標站點的小程序
進入登錄發現只需要姓名加學工號就能成功登錄,通過googlehack的語法成功找到學生姓名和學號,想直接找老師的工號發現無果,信息收集到此爲止
2. 通過學生的信息成功登錄進去,進入熟悉的測試環節,成功找到sql注入
使用sqlmap成功跑出
3. 本以爲測試到此位置了,突然在某個功能點有了意外之喜,發現了老師的工號,果斷深度利用一手
竟然找到了老師的工號和身份證
既然教師的接口泄露的老師的工號,那領導的接口不也會泄露,果斷放棄老師的工號,前去尋找領導的工號,果不其然
肯定挑官大的搞~
【---- 幫助網安學習,以下所有學習資料免費領!領取資料加 we~@x:dctintin,備註 “開源中國” 獲取!】
① 網安學習成長路徑思維導圖
② 60 + 網安經典常用工具包
③ 100+SRC 漏洞分析報告
④ 150 + 網安攻防實戰技術電子書
⑤ 最權威 CISSP 認證考試指南 + 題庫
⑥ 超 1800 頁 CTF 實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP 客戶端安全檢測指南(安卓 + IOS)
4. 成功通過領導的工號登錄
權限有點大,找找還有利用的地方嗎
5. 敏感信息泄露
成功找到一處接口,存在信息泄露,通過遍歷得到大量身份證
幾萬條信息泄露還是有的
6. 轉戰web端的學工系統,發現是掃碼登錄,結合上面的領導賬號嘗試登錄
通過微信綁定的手機號獲取驗證碼,嘗試能否登錄
成功登錄
7. 目錄遍歷
通過對該站點的測試發現該站點還存在目錄遍歷
篇幅有限,點到爲止
總結:
建議學校對用戶登錄時多做校驗,防止任意用戶登錄,對接口增加鑑權,對特殊字符進行過濾,加強網址的安全防護。在任何情況下,未經授權的滲透測試行爲都是違法的,可能導致嚴重的法律後果。因此,在進行任何安全測試之前,請務必與目標單位達成明確的協議和授權。