网络安全SRC漏洞挖掘经验总结V10Shodan、fofa、zoomeye、360quake等网络资产搜索引擎可以用来搜索网络空间中在线设备，功能十分强大，相当于网络安全界的google：

　　在网站的JS文件中，会存在各种对测试有帮助的内容，JSFinder可以帮助我们获取到JS中的url和子域名的信息，拓展我们的渗透范围。爬取分为普通爬取和深度爬取，深度爬取会深入下一层页面爬取JS，时间会消耗的更长，流程如下：

　　Sublist3r是一个python版工具，其设计原理是基于通过使用搜索引擎，从而对站点子域名进行列举。Sublist3r目前支持以下搜索引擎：Google, Yahoo, Bing, 百度以及Ask，而未来将支持更多的搜索引擎。目前，Sublist3r同样也通过Netcraft以及DNSdumpster获取子域名开云网址。

　　和github类似，网盘中往往会存在企业泄露的内部信息，同样需要关注，常见的网盘搜索引擎：盘多多：盘搜搜：盘搜：凌云风搜索：lingfengyun.com/

　　企业的微信号、服务号、小程序、APP会帮助我们拓展攻击面，部分应用入口web中并没有，需要从公众号、小程序、APP入手，公众号中甚至会有企业用于测试的公众号、服务号，这些信息需要重点关注：

　　但不要因为麻烦放弃，此类用户由于注册难开云网址，意味着测试的人员少，往往漏洞比较多。部分平台审核不严，很多情况下提供资料注册即可通过或简单电话验证即可通过。

　　想办法提供各类资料注册（网上购买营业执照、OSINT、PS）想办法获取到账号（撞裤、文库、QQ群、github泄漏等）借账号/租账号/买账号

　　企业微信公众号可以大大拓宽我们的测试范围，公众号部分链接可以直接复制到浏览器中打开，然后按照常规的渗透测试方法进行，但是有的链接复制到浏览器后，会出现下图情况

　　对于这种情况，可以通过安卓模拟器抓微信包、真机微信抓包的方式解决，但都相对不太方便，和大家分享通过SocksCap64直接抓微信PC端的流量方法。

　　SocksCap64是一款功能非常强大的代理客户端，支持http/https、socks4/5、TCP、UDP等协议，在内网渗透中经常使用，同样可以用他来代理微信PC客户端的流量，并将流量转发至burp中，就可以进行抓包分析。

　　在网站测试的过程中，常常在用户注册登录时出现手机号/邮箱注册，这里就可能出现短信&邮件炸漏洞，此类漏洞测试比较方便，虽然有的站点做了防护，但也有一些绕过的办法。

　　随着开发人员安全意识的日益加强，IPS/IDS、WAF、全流量检测等防护设备的不断部署，传统的SQL注入漏洞、命令执行等漏洞正变得越来越少，或者越来越难挖（需要绕过各种防御设备）。但业务逻辑漏洞几乎可以bypass一切传统的安全防护设备，目前还没有非常有效的防御手段。同时，业务逻辑纷繁复杂，再资深的程序员也可能挖坑，所以只要基础扎实，逻辑思维能力强，耐心细心，不放过任何一个步骤，此类漏洞比较容易挖。

　　如果在进行下一步操作时，没有校验上一步的认证是否成功时，就会存在逻辑缺陷绕过。比如在第一步认证原手机号时，随意输入验证码，将response包中的相关字段进行修改，比如0改成1，false改成true，即可绕过第一步验证，进入填写新手机号界面，如果第三步提交修改时没有验证第一步的结果，就会造成逻辑漏洞。

　　部分网站的身份验证放在了前端，因此只需要将response包中的相关字段进行修改，比如0改成1，false改成true，就可以登录任意用户账号。

　　场景1：遍历ID在一些请求中，GET或POST中有明显的id数字参数（手机号、员工号、账单号、银行卡号、订单号等等），可以尝试进行遍历，如果程序没有对当前权限进行判断，就会存在水平越权问题。

　　场景2：ID替换如果程序对用户标识进行了hash或者加密，而又无法破解用的什么加密方式的话，就无法通过遍历ID来获取其他用户信息了。此时可以尝试注册两个账号，通过替换两个ID加密后的值，判断程序是否对权限进行了验证开云网址，如果没有，也会存在越权问题。

　　说明，本教程文章仅限用于学习和研究目的，请勿用于非法用途。漏洞挖掘中应遵守SRC中的相关规则。