银行业务WEB渗透总结

web渗透分为几个层次,新手一般是用啊D,明小子等检测注入漏洞,XXS跨站,Cookies欺骗,弱口令等方式获取webshell,但是在银行和很多定制开发项目中,有开源的工具一扫什么问题都解决了。甚至很多人不懂sql,只用工具。这种一般是通过看一些黑客教程,通过一些开源的漏洞去齐全,如果好好找的话,拿到几万个webshell是正常的,不过商业价值不大,如果量多了的话,通过某种途径去做中间人,价值还是蛮大的,是一个典型的灰色产业。
中级web渗透,懂开发,懂渗透,有时思路确有封闭,根据每个人实际做过的项目经历,对于渗透能理解的程度也不一样,比如Get,Post请求,如果只做过B/S项目的人一般只晓得通过html的url进行get传参,通过表单做post传参,如果表单隐藏了,这种方式并不能发现所有的隐藏域,比如ajax通过js传参的,很难找。如果是做过C/S架构的,网络编程的,可以直接用HTTP去做请求,url和表单传值是上层,基本都要会一些,通用型漏洞是最好上手的,无论新手还是有经验的,再延伸的就是业务层面的漏洞,非工具直接扫描出来的,但是又离不开工具,而且根据每个行业的实际业务,业务逻辑缺陷也会不一样,一个行业熟悉了业务,可以最大化的避免逻辑漏洞的产生。推荐两款工具burpsuite和fiddler都是抓包的顶级工具,截取数据包修改请求。 业务层的漏洞90%都是用相关工具去篡改数据包产生的,有些需要懂业务,有些不需要懂业务,比如自己是某网站的会员。研究一下基本晓得参数的意义,可以获取到那些信息一级价值。
针对银行的业务,首先用appscan扫描出所有的明文传参,依次篡改,看返回值,篡改的数据可以遍历获取,当然如果经过同意可以有直接的测试数据是最好的,速度会快一些。抓取到参数值后,根据实际业务发现问题的严重性。