Web攻防-业务逻辑篇Fuzz技术数据并发条件竞争JS挖掘参数盲猜Turbo插件SRC

知识点：
1、WEB攻防-Fuzz技术-盲找&文件&参数&值&项目
2、WEB攻防-数据并发-条件竞争&应用场景&并发流程

一、演示案例-WEB攻防-Fuzz技术-盲找&文件&参数&值&项目

Fuzz是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试。

在实战黑盒中，目标有很多没有显示或其他工具扫描不到的文件或目录等，我们就可以通过大量的字典Fuzz找到的隐藏的文件进行测试。

Fuzz的核心思想:
口令Fuzz(弱口令)
目录Fuzz(漏洞点)
参数Fuzz(利用参数)
PayloadFuzz(Bypass)Fuzz应用场景：
-爆破用户口令
-爆破敏感目录
-爆破文件地址
-爆破未知参数名
-Payload测漏洞（绕过等也可以用）Fuzz项目：
https://github.com/TheKingOfDuck/fuzzDicts //字典
https://github.com/gh0stkey/Web-Fuzzing-Box //字典
https://github.com/Stardustsky/SaiDict  //字典
https://github.com/s0md3v/Arjun  //参数名fuzz工具

1、案例：FUZZ JS 文件

爆破js文件的意义是通过获取更多的js文件，分析其中的代码是否包含了一些敏感信息。

2、案例：FUZZ Rce 文件名&参数名&参数值

3、SRC案例

Fuzz手机加验证码突破绕过

Fuzz访问URL挖未授权访问

某系统测试发现后台登录地址为https://xxx/?m=index

于是请求https://xxx/?m=view，获取一个未授权访问漏洞。

Fuzz密码组合规则信息泄漏

二、演示案例-WEB攻防-数据并发-条件竞争&应用场景&并发流程

并发通常发生在多线程或多进程并发执行的环境中。这种漏洞主要源于在并发执行时，由于缺乏适当的同步机制或同步不当，导致多个线程或进程在访问和修改共享资源时出现冲突或不一致的状态。

并发应用场景：
包括但不限于点赞、投票、签到、代金券、领积分、获取验证码等。

靶场：https://portswigger.net/web-security/all-labs#race-conditions

1、案例：优惠卷并发绕过

使用turbo intruder插件并发

先抓包优惠卷，放入插件，选择脚本后更改次数及逻辑，直接开启。

使用repeater创造并发

先抓包减免卷，放入repeater，使用ctrl+R复制报文，放入同一个group一起发包即可。

2、案例：绕过速度限制并发

使用turbo intruder插件

先抓包登录请求，放入插件，选择脚本后更改逻辑代码，直接开启。

3、SRC案例

https://mp.weixin.qq.com/s/cdL8VkhXiZDIK42AoFDlrA
https://mp.weixin.qq.com/s/OGwlHYxIZe_aHXMTBNxAzg