3K'Blog

3K'Blog

渗透测试的一般流程整理

    1.明确目标1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权...目标系统介绍、重点保护对象及特性。是否允许数据破坏?是否允许阻断业务正常运行?测试之前是否应当知会相关部门接口人?接入方式?外网和内网?测试是发现问题就算成功,还是尽可能的 [...]

在线支付漏洞利用分类

    1、支付过程中可直接修改数据包中的支付金额这种漏洞应该是支付漏洞中最常见的。开发人员往往会为了方便,直接在支付的关键步骤数据包中直接传递需要支付的金额。而这种金额后端没有做校验,传递过程中也没有做签名,导致可以随意篡改金额提交。只需要抓包看到有金额的参数修改成任意即可。我们来看一看乌云上的几个案例:WooYun:必胜客宅急送支付表单伪造金额WooY [...]

1/1
1
 
歌曲 - 歌手
0:00

回到顶部