近年来,许多黑客将目标瞄准了暴利**网站,在海外设立了许多**平台。由于平台的资金池巨大,他们从事的很多行业都是非法的,所以很多黑客关注“黑吃黑”,渗透这类**网站。
当然,大家可以私信我们,加入一个群或者加入一个圈子,我们可以一起学习,一起讨论!!!
对于这类**网站,大多都有大量的xss和sql注入(主要是xss比较多)。另一方面,对相似的源代码进行白盒测试。浏览器在首页打开一个地址,就会弹出一个“**网站”打开网站。其实网站程序和普通**网站没什么区别。他们是直接在右上角注册的,然后你注册完就可以马上玩各种***了。
在网上找找这类程序有没有安全漏洞,但是没发现什么有用的。相对来说,研究一下这类网站有没有新的渗透方式。其实看了整个网站,多次的功能测试都没有发现什么重大的安全漏洞。
在测试支付接口时,很多地方他们直接要求用户转账充值。充值的方式有很多种,其中一种就是可以直接用支付宝支付。输入一个300元,直接跳转到一个支付二维码。
直接进入这个界面的首页是一个支付平台。看起来是这样的,“某某科技”这个名字应该是让人觉得是正规的支付渠道。
来到一个商家登录页面,里面肯定有很多功能测试。
其实在这个过程中,网站做了大量的测试,过程中省略了不必要的文字,所以过程中直接写重点,挖掘过程需要很长时间才能找到。
其中,我在一个js页面上发现了若干个只有权限才能触及的JS请求操作,但是有两个地方是可以直接请求而不需要权限的,所以在测试漏洞的过程中每一点都要进行测试。
上图是js的截图。像这样的请求有十几个,简单组合成post请求。你可以找到一个返回包,比如请求返回true。
但是然后简单输入单引号直接报错sql错误消息,测试多个字符。如果发现单引号会报错,那肯定有问题。验证了SQL注入的存在。
1′and(select length(database()))= 18 and ‘1’=’
18: 00防错长度18
流程大家都知道,而且拿到了商家的多个密码。其次,这个网站上有三个商家,都属于他们的“**网站”。首先登录并检查它们。
里面有几个银行***,包括账户里的100多万人民币。
他们也有后台,不方便截图,内容比较敏感,所以是这个支付界面的后台。
这是一个黑客的攻防经验。希望大家关注我们的头条号,以便看到更多精彩内容。希望大家从经验中学习,然后学到更多的知识。这是我们的初衷。最后可以私信小编,加入群或者加入我们的圈子,讨论更高级的web经验。
本文来自离开我后记得微笑投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/605119.html