《zseano's methodogy》学习笔记

一些图片没有上传,本地和notion好好的,上传上来格式有些emmm(看阅读时间要35min也能够知道完整的文章目前博客显示不完整),完整笔记可以联系我tg. 之前看书写的了,现在分享出来,希望能帮助到其他人.zseano的这本书可以在他的网站上找到,对于小白的我非常的有帮助!

  • never go in with the mindset of trying every type of vulnerability possible
  • all about spending months on the same program with the intention of diving as deep as possible
  • to begin with I am focused purely
    on finding areas(第一次尝试,需要确认一个你主要尝试的目标/方向)

Common issues I start with & why

Cross Siet Scripting(XSS)

XSS是最好预防的漏洞,存在WAF拦截,往往意味着application易受XSS攻击。关于绕WAF的payload:https://github.com/0xInfection/Awesome-WAF#how-wafs-work

Step One:Testing different encoding and checking for any weird behaviour

尝试:

  • 输入<h2>,<img>

  • 去看那些是被允许的,哪些是不被允许的。理解,目标是如何处理encoding的。例如:如果被过滤为&lt or %3C,那么尝试double encoding,例如:%253C以及%26lt;去看看如何处理这类的encoding.

    • 如果不管你尝试什么,你总是看到&lt;script&gt; %3Cscript%3E ,那么,该相关参数可能不易受到XSS攻击

    补充:一些有趣的encoding:https://d3adend.org/xss/ghettoBypass

Step Two: Reverse engineering the developers' thoughts

(this gets easier with time & experience)

这一步站在开发者的视角去推测他们会创造什么类型的过滤(以及问:为什么?)

  • 切入点1-是否过滤完整的HTML tag:
    • 如果发现他们过滤<script><iframe>,"onerror"=,但是同时注意到他们不过滤<script。那么我们猜测:“是否只过滤完整的HTML tag”。我们可以尝试<script src=//mysite.com?c=
  • 切入点2-是否维护着一个黑名单
    • 忽略了一些HTML tag:也许开发者忽略了类似于<svg>
    • 覆盖面:也许并不是全部参数都存在黑名单
    • 对于encoding如何处理? <%00iframe, on%0derro

**Testing for XSS flow:" **

  • 测试非而已HTML tag,例如<h2>

  • 测试不完全的tag,例如<iframe src=//zseano.com/c=

  • 测试encoding,例如<%00h2?(There are LOTS to try here,
    %0d, %0a, %09 etc)

  • 存在硬编码字符串的黑名单吗?测试 </script/x> 有效吗?或者