现在的客户端界面越做越好看了,很多用到了web技术,轻便、界面炫、更新快,但是这样web的缺点也就出来了,就是不稳定,容易受用户等因素影响。
因为很多客户端web是内嵌的,内部通信,所以很多对安全的考虑就很少,漏洞亦较多。在此,我想跟大家分享一下客户端的web测试思路,让大家找到更多的高质量漏洞。
首先打开一个客户端界面,如腾讯的群介绍界面。
方法一:测试F5键。大家都知道F5是刷新键,按f5测试界面是否全部或部分刷新,如果刷新,很大的可能就是嵌入的web。
方法二:测试右键。网页自己特有的右键,如果出现,则可判定是web。
方法三:测试拖曳。可以点一个图片或一段文字到某个位置,如桌面,浏览器址栏等,如果能拖曳成功,很大可能是web。拖曳操作在测试触屏客户端时最有效。如ATM机、机票终端等。如中国银行XTM
方法四:测试Ctrl+A。如果能全选,那就再Ctrl+C。之后打开一个富文本编辑器,如在线编辑器,如http://kindeditor.net/demo.php,然后Ctrl+V,再在源码模式查看即可。
方法五:打开burpsuit,直接测试。这个是最准确。得到了地址,就是常规web了,同时可以发现很多内部接口。
因该说上面的五种方法是自己一次次在实践中总结到的,现在看来很简单,但当你发现一种新方法时,总会有一批漏网之鱼向你游来,收获之喜只有自己知道。
求更多思路。
[原帖地址]
各种吐槽:
1#
0749orz (一头人,牵着一头牛!) | 2014-04-26 21:55
0.0我来了!~
2#
IT偏执狂 (禁锢我们的究竟是什么?) | 2014-04-26 22:02
用户的自由度与信息的安全性成反比。
3#
random_ (精神的最高境界是自由) | 2014-04-26 22:04
@IT偏执狂 的确
4#
虾米 | 2014-04-26 22:05
ATM机好像没提供给你F5 Ctrl 这些键吧,求解。
5#
random_ (精神的最高境界是自由) | 2014-04-26 22:09
@虾米 那就拖曳
6#
袋鼠妈妈 | 2014-04-26 22:16
@random_ 能拖曳么?
7#
random_ (精神的最高境界是自由) | 2014-04-26 22:17
@袋鼠妈妈 长按图片或文字后平移
8#
random_ (精神的最高境界是自由) | 2014-04-26 22:19
补充一种就是,输入报错,这种无关方法,是技术。
9#
锄禾哥 ("%</a>&) | 2014-04-26 22:28
早已练就了肉眼秒识别web/native app的技能了……
10#
random_ (精神的最高境界是自由) | 2014-04-26 22:37
@锄禾哥 尚未到大牛的境界
11#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-26 22:38
@锄禾哥 我闭着眼睛都能摸出来是web还是native app~
12#
abaddon (我就认识这几个字母因此取了这名字) | 2014-04-26 22:57
我去搞了自己的查询机 然后去医院玩了下
然后踌躇满志去去银行玩
那或屏幕都不是触控的 就提供输入密码和几个功能键
求解
13#
浅兮 (初中生) | 2014-04-27 10:37
拖拽,如果是点击劫持,那我不是死了!
14#
random_ (精神的最高境界是自由) | 2014-04-27 12:08
@浅兮 这样的话喝水都会噎着
15#
熊猫 (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2014-04-27 12:51
@abaddon 是不是左右各四 共八键 中有小孔 仿佛若有人 近而观之,则右刻“取消 更正 输入”,左刻“1 2 3 4 5 6 7 8 9 0 .00 ” 石青糁之!
16#
xiaoL (http://www.xlixli.net) | 2014-04-27 18:55
我怎么记得终端机没那么多按键可以用啊
17#
bitcoin (学习是最好的投资!) | 2014-04-30 23:59
学习了
相关内容:
指纹门控的安全,户外物理设备入侵,如何入侵绕过指纹识别安全锁、门控系统
已更新Iwork10测评!求推荐一款便携式户外物理移动渗透终端设备!!!
【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工
R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)
rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR
rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪
户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)
Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入
关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论
远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击
武汉公安开发尖端人像识别系统 可瞬间辨认嫌疑人 全国摄像头寻人
手机全息投影、初音、Miku、立体投影,制作方法已放出,图文+视频
华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕
视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播
利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备
电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?
用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位
不要偷黑客的东西 - Why you don't steal from a hacker
视频:黑客实战入侵,黑客入侵大楼灯光控制系统,黑客们的游戏,户外物理入侵
留言评论(旧系统):