文章转自公众号：物联网IOT安全

巧用搜索引擎首推谷歌查看了解src旗下涉及到的业务，收集其对应的业务下的域名，在进一步进行挖掘，比如： 整理后，在进行常规资产收集。

基本的资产收集方式：子域名枚举、端口扫描、路径扫描、旁站c段查询

子域名 子域名爆破： sublist3r、subdomainsBurte、DiscoverSubdomain、layer子域名挖掘机。 子域名枚举 通过网络空间安全搜索引擎 云悉资产、FOFA、Virustotal、Dnsdumpster、Threatcrowd

路径扫描 dirsearch、御剑

旁站C段查询

在线旁站C段查询：www.webscan.cc、www.5kik.com、phpinfo.me

敏感目录/文件 猪猪侠weakfilescan、cansina、sensitivefilescan、FileSensor

网页源码/js/json泄漏敏感接口

1）接口泄漏 2）json敏感信息泄漏

a)网站源码涉及到的子域名url接口资产爬取 b)网站源码js中包含的请求或拼接的访问接口 c)高级功能，url接口中json信息泄漏识别

微信公众号绑定接口、app、老旧的登录接口、版本迭代

改识别用户参数； 改cookie； 越权访问； 登录后，修改密码，未校验id与用户，修改id，即可改其他人密码； 修改个人数据时，页面源代码有用户标识符id，抓包修改或添加id； 直接访问后台链接禁用js则不会跳转登录界面，直接登录； 登陆分为账号和游客登陆，游客功能有限，app端只做前端检测，模拟发包即可； 越权订单查看打印下载、越权操作他人收货地址、增删改查等。

任意用户注册、密码重置、密码找回。

1）获取验证码后任意输入一个验证码。

2）抓包放行，得到的返回包如下

3）抓包改返回包修改为正确的返回包覆盖错误的返回包，如下 {“code”:1,”data”:”目标用户手机号”,”msg”:”绑定成功Ÿ”}

4）放行，修改成功

未对原绑定手机号、验证码、用户未统一验证，或验证码未绑定，只验证验证码正确，没判断用户id或手机号，修改想改的id正确手机验证验证码即可。 如密码找回重置时未对原绑定手机号验证进行任意账号密码重置。 150**73账号被重置

1.以重置成功的token覆盖最后一步错误的token和1类似。 2.密码重置时删除mobilephone参数值修改email参数值。 3.假如找回需要4步，最后一步有user参数，用自己账号正常到第三步，第四步修改user实现。 4.支付逻辑漏洞 5.可跳过步骤、

1.撞库，登录时无验证码且可无限被尝试，用户名验证时有无用户名错误回显、密码可被爆破。 2.无验证码，验证码不刷新，验证码4位过于简单，无尝试册数限制可被爆破。 3.枚举注册用户，输入用户名，发送请求验证用户名是否正确（若返回次数限制，可测试服务端未限制高频访问）。 4.登陆失败有次数限制，若包中有限制参数可更改或删除参数。 5.邮箱轰炸，短信轰炸，burp repeater，短信宏站验证码有60秒限制时，有的参数修改后可绕过，如： 1）isVerfi参数，这里是1，回包3，手机没收到信息，存在验证码限制。 改为0，回显2，绕过了验证码限制。

cookie一直有效（修改密码后仍有效） 第三方账户登录绕过（拦截微博授权成功的请求地址：https://api.weibo.com/oauth2/sso_authorize?sflag=1 修改response中的uid，服务端没有校验客户端提交的uid与授权成功的uid相同）