站在信息安全方向看待送给web开发的一些参考(勿喷)

0x01 前言: web开发对于前后端数据包的控制，验证机制，以及各种标签属性的一些过滤比如空格，/号等过滤能有效防止xss等。 0x002 信息收集 首先进入首页发现是静态主站就不要想注入了，搜集了一些信息。(站长工具) 服务器类型:nginx 页面类型:text/html 子域名80余条 国微cms 只是手机初步的进行了简单的信息搜集，我也是个弟弟望各位大佬勿喷. 国微cms2018年爆出在config.php存在注入，但想都不要想目标站没戏.(cnvd或seebug可查询漏洞)。 0x003 渗透测试 于是我便着手从子域名下手，利用必应搜索引擎进行搜索如下 搜索到某登录接口，果断打开。出现了如下的情况 这是不是很眼熟啊，但是由于我是手机抓不了包尝试注入，但是发现行不通502 bad request没办法换个思路。我抱着打道回府的心情，去尝试了一下弱口令，第一次不行、第二次、第三次我擦成功了，要笑抽了。 进入系统后发现功能完全没有啊，只有一个搜索模块存在，没有什么作用。眼看马上要完工了，特么的来着出???(可能是荒废了已经)，但是都到了这里也不能放弃哈。冷静思考的我，打开了源代码发现如下js给我新天地！！ 这尼玛不是找死吗??果断访问了对应/gwork/websitesetup/spelfile.aspx 哈哈哈来到天堂般的地方哈哈哈！！ 这尼玛没得说啊！！ 0x003 总结 每一种思路都是实战经验所带来，欲穷千里目，更上一层楼。我们只有拥有更广的攻击面，才能有高的成功率。鄙人是菜鸡，大佬们勿喷。几个小伙伴准备弄漏洞统计和论坛实战经验，望各位勿喷能多多支持。 同样系统写前后端同志们，能控制好隐藏好。 -----Mr_python