好久没写文章了,分享一个银行XSS漏洞挖掘技巧过程

/ 558 次浏览/ 网络安全

好久没写文章了,分享一个银行XSS漏洞挖掘技巧过程

PS:明年可能去XX或者XX深造深造


众所周知,银行的业务系统,是很安全的,不管是接口还是其他的服务,都相对比较成熟,很难挖到有价值的漏洞

今天有空写篇文章,简单分享一个银行XSS漏洞,逻辑漏洞技巧挖掘过程

以前也挖过银行类的漏洞,都是有保密协议的


首先我们得到的目标是一个微信公众号,在这里我们可以随便点开一个页面,获得连接,这时候我们需要发包工具进行测试

推荐:fidder,很方便


抓到一个地址

捕获.PNG


发现是一个POST方法,token接口,意味着身份识别,这时候即便发送到response也没有获得有价值的信息

灵机一动,换成GET方法

然后再利用response的方法,进行修改返回参数

捕获1.PNG

就触发了所谓的XSS跨站脚本攻击,是不是很简单,也很明朗,为什么银行系统并没有拦截呢,我记得我之前就说过,有些漏洞不一定很好拦截的


捕获2.PNG



光弹个框框可能意义不大,但是我们可以配置XSS平台做一些转码处理,利用方法可能有所改变


捕获3.PNG



最终打到了我们想要的,即便是一个XSS漏洞,对于银行来讲,都是不安全的,黑客可以伪造xss编码钓鱼等等,该修还是得修,就写到这里



关键词:新闻动态

<< 上一篇

玄猫安全实验室招聘渗透测试人才

下一篇 >>

CVE-2020-14882&14883weblogic未授权命令执行漏洞复现

相关文章