有哪些信誉好的足球投注网站- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
0x00前言
对于SRC的挖掘思路,很多师傅已经给出了挖掘实用技巧。今天带来一篇本人的思路分享:不受限制的资源调用。
1.进入正题
相信在各位的学习、生活中都遇到过这样的页面
此处我以某厂商的云服务购买为例,由图可知,需要我们输入姓名、身份证、联系电话等。如果按照我们普通的挖掘思路,此处可能存在的漏洞是不是有SQL、XSS、越权查看他人提交信息、CSRF等等,其实此处可以利用一种新的思路,我称之为不受限制的资源调用。
2.漏洞测试
此处我们先输入自己的真实姓名+身份证号,然后把身份证号的最后一位7,改成5,进行提交,此时可以发现,提示我们需要输入正确的身份证号码,同时Burp没有任何数据包请求,判断此处是前端做了校验,校验用户输入的身份证号是否能够与规则匹配。同时可在JS文件中找到相应规则,此处校验不通过会返回false阻止我们进行提交。
console有如下结果:
所以此时,我们需要把身份证号改成一个正确的身份证号,把姓名也改成正确的姓名,同时进行提交,此时可见,在我们的Burp中出现了我们想要的数据包,包含了我们的姓名、身份证号、联系电话等等。此时我们再将数据包中的6改成5,也就是把真实身份证号又改回去一个不存在的身份证号,然后抓取返回包,可见,此时后端又做了一个验证,告知我们:身份证验证错误。
错误图:
3.原理剖析
此时先不着急往下进行测试,我们先来了解一下身份证验证的原理:
这里我做了一张流程图,假如我此时是一名开发者,我需要给我的APP加上实名验证功能,那么我可以直接去向最上层的那个机构申请接口吗?不能,因为我不是企业,而且我也不是属于它直系应用的开发者。我只能向他的下级,也就是腾讯、阿里、百度这样的企业去申请API接口,同时这些公司会把我们提交的数据,提交给最上层的那个机构,并且根据返回的数据,给我们返回的数据。也就是身份证号验证成功,或者二要素验证不一致。
我们再来说一下直系应用与企业的区别,直系应用去申请二要素验证,一般是不用花钱的。而我们作为个人开发者,或者企业,去调用那个接口,其实是要钱的。我们在网上随便找一些关键字,可以看到,价格其实还是蛮高的。
4.深入理解
那么此时是不是可以利用楼上所示的接口?去做一些事情呢,我这里假设要对别人进行社工,那么他的姓名是XXX,身份证号的后四位或者后六位我不知道,就可以对他进行一个爆破。此时我们勾选上最后四位,然后把数值调整到0000-9999之间,此时根据返回包的长度大小、可判断身份证号码是否正确。
此处可见,我们利用某平台开放的实名认证接口,可以完成我们自己想做的身份证二要素验证,同时由于厂商没有做限制,便可以无限消耗此厂商的资源,从而达到我们的目的。像本文中的二要素验证,以及短信验证,还有活人检测,其实都是基于Money的,在我们的SRC挖掘过程中,也可以去尝试一下这些点。
文档评论(0)