位置: IT常識(shí) - 正文
推薦整理分享Web 攻防之業(yè)務(wù)安全:接口未授權(quán)訪問/調(diào)用測(cè)試(敏感信息泄露)(web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南),希望有所幫助,僅作參考,歡迎閱讀內(nèi)容。
文章相關(guān)熱門搜索詞:web攻防之業(yè)務(wù)安全,web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南,web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南在線閱讀,web攻防技術(shù),web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南,web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南pdf,web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南,web攻防之業(yè)務(wù)安全實(shí)戰(zhàn)指南pdf,內(nèi)容如對(duì)您有幫助,希望把文章鏈接給更多的朋友!
業(yè)務(wù)安全是指保護(hù)業(yè)務(wù)系統(tǒng)免受安全威脅的措施或手段。廣義的業(yè)務(wù)安全應(yīng)包括業(yè)務(wù)運(yùn)行的軟硬件平臺(tái)(操作系統(tǒng)、數(shù)據(jù)庫,中間件等)、業(yè)務(wù)系統(tǒng)自身(軟件或設(shè)備)、業(yè)務(wù)所提供的服務(wù)安全;狹義的業(yè)務(wù)安全指業(yè)務(wù)系統(tǒng)自有的軟件與服務(wù)的安全。目錄:
驗(yàn)證碼繞過測(cè)試:
測(cè)試原理和方法:
測(cè)試過程:
第一步:在網(wǎng)站登陸后使用 Burp Suite 的爬蟲功能,從重點(diǎn)關(guān)注的目錄一般為網(wǎng)站根目錄開始爬取,在 HTTP history 選項(xiàng)卡中選中要開始爬取的項(xiàng),右鍵選擇 “Spider from here” 爬取的結(jié)果會(huì)在 Target --> Site map 中顯示,在爬取完畢后使用?Burp Suite 的? HIME Type 過濾功能篩選出接口相關(guān)的 HTTP 請(qǐng)求重點(diǎn)關(guān)注 json,script,xml,text MIME?Type等.(這里只是步驟說明)
第二步:對(duì)接口相關(guān)的請(qǐng)求進(jìn)行查看,查看響應(yīng)中是否包含想要的敏感信息,如個(gè)人電話,IP地址,興趣愛好,網(wǎng)站的瀏覽記錄,身份證,手機(jī)號(hào),地址等信息.(這里只是步驟說明)
第三步:將完整的請(qǐng)求 URL 復(fù)制到未登錄的瀏覽器中,查看能否訪問對(duì)應(yīng)的 URL 的內(nèi)容,如果能夠返回敏感信息,則存在漏洞,如果需要登錄后才能訪問,則漏洞不存在.(這里只是步驟說明)
修復(fù)建議:
免責(zé)上一篇:2022.07.25 C++下使用opencv部署yolov7模型(五)(c++~怎么用)
下一篇:H5頁面跳轉(zhuǎn)小程序的三種方式(h5頁面跳轉(zhuǎn)小程序不顯示按鈕)
網(wǎng)站地圖: 企業(yè)信息 工商信息 財(cái)稅知識(shí) 網(wǎng)絡(luò)常識(shí) 編程技術(shù)
友情鏈接: 武漢網(wǎng)站建設(shè)