备案控制台
开发者社区 安全 文章 正文

赏金猎人系列-如何测试注册(Sign up)功能

2022-12-13 216
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 前言在正常的打猎(漏洞挖掘)过程中,Sign Up是常见的一个功能,之前写过一篇 注册功能测试小结,但是不是很全, 本文将着重对此功能的测试点进行系统性梳理,鉴于测试点有几十个,所以可能会分为好几期来阐述;

前言


在正常的打猎(漏洞挖掘)过程中,Sign Up是常见的一个功能,之前写过一篇 注册功能测试小结,但是不是很全, 本文将着重对此功能的测试点进行系统性梳理,鉴于测试点有几十个,所以可能会分为好几期来阐述;


正文

第一种情况

首先尝试注册一下,不仅仅是PC端,移动端也请尝试一波,主要是了解这个公司的注册的流程与处理逻辑

POST /signUp HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com 
Content-Length: Number
firstname=I&lastname=am&email=me@gmail.com &password=*****&captcha=Random&token=CSRF

第二种情况

如果你需要商务邮件,尝试使用username@bugcrowdninja.com或username@wearehackerone.com

POST /signUp HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com Content-Length: Number
email=username@wearehackerone.com&password=*****&ca ptcha=Random&token=CSR&Ffirstname=I&lastname=am

第三种情况

Gmail把Me@gmail.comMe+1@gmail.com作为一个电子邮件,所以当你需要创建多个帐户时,考虑使用这个功能

就是说发送给Me@gmail.com的邮件可能会被Me+1@gmail.com接受到

user+1@gmail.com 
user+2@gmail.com 
user+ANYSTRING@gmail.com 
user@gmail.com 
use.r@gmail.com 
us.er@gmail.com 
u.ser@gmail.com

第四种情况(Tip)

使用Burp Suite Collaborator创建多个帐户,例如me@one.id.collaborator.net, me@two.id.collaborator.net,诸如此类

me@one.id.collaborator.net 
me@two.id.collaborator.net 
me@three.id.collaborator.net 
me@four.id.collaborator.net
......

第五种情况(Tip)

如果存在谷歌的ReCAPTCHA机制,请尝试配置Burp Suite的TLS为Pass,例如: *google.com.*

设置步骤:

1.跳转至 Bp 的 Project Configurations

2.跳转至 TLS Pass Through

3.点击add然后输入: .*google.com.*


11.png

第六种情况

尝试注册现有的电子邮件地址,例如existing@gmail.com,有时授权令牌将出现在响应

POST /signUp HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com 
Content-Length: Number
firstname=I&lastname=am&email=existing@gmail.com 
&password=*****&captcha=Random&token=CSRF

第七种情况

尝试注册公司的邮件地址,例如admin@company.com,以获得额外的权限或获得更多的功能。

POST /signUp HTTP/1.1
Host: www.company.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded 
Referer: https://previous.com/path
Origin: https://www.company.com Content-Length: Number
firstname=I&lastname=am&email=admin@company.com 
&password=*****&captcha=Random&token=CSRF


参考

https://docs.bugcrowd.com/researchers/participating-in-program/your-bugcrowdninja-email-address/?fbclid=IwAR3gU2qciYzA3Ks8ZCFV8l5WEIBbN1wEtz1wdyIDlHibKGeB2a54L4yaWcw

https://docs.hackerone.com/hackers/hacker-email-alias.html

https://hackerone.com/reports/246302

https://hackerone.com/reports/2224

https://medium.com/@sakyb7/tale-of-account-takeover-sensitive-info-disclosure-broken-access-control-cea0a5e3a1fd

https://sunilyedla.medium.com/information-disclosure-through-signup-endpoint-86d2d66dfef1

https://zseano.medium.com/how-signing-up-for-an-account-with-an-company-com-email-can-have-unexpected-results-7f1b700976f5

https://www.freecodecamp.org/news/messing-with-the-google-buganizer-system-for-15-600-in-bounties-58f86cc9f9a5/


文章标签:
测试技术
安全
关键词:
测试功能
测试注册功能
测试注册
赏金猎人测试注册sign up
赏金猎人测试sign
richard1230
目录
相关文章
jerrywangsap
|
1月前
|
人工智能 搜索推荐 Serverless
使用金庸的著作,来测试阿里通义千问最新开放的长文档处理功能
使用金庸的著作,来测试阿里通义千问最新开放的长文档处理功能
jerrywangsap
161 7
使用金庸的著作,来测试阿里通义千问最新开放的长文档处理功能
Y小夜
|
1月前
|
Java
【Java每日一题】— —第二十一题:编程把现实生活的手机事物映射成一个标准类Phone,并定义一个测试类PhoneDemo测试Phone类的功能
【Java每日一题】— —第二十一题:编程把现实生活的手机事物映射成一个标准类Phone,并定义一个测试类PhoneDemo测试Phone类的功能
Y小夜
48 0
龙大吉
|
7天前
|
IDE 测试技术 持续交付
Python作为一种简洁、易读且功能强大的编程语言,其自动化测试和单元测试框架的丰富性和易用性为开发者提供了极大的便利
【6月更文挑战第10天】本文探讨了Python自动化测试与单元测试框架在提升代码质量和效率中的作用。Selenium、Appium和pytest是常用的自动化测试框架,分别支持Web和移动应用的测试。unittest是Python的标准单元测试框架,提供断言方法和测试组织结构。通过制定测试计划、编写高质量测试用例、持续集成与测试、以及有效利用测试报告,开发者能提高代码质量和开发效率。
龙大吉
23 1
郏国上
|
24天前
|
Android开发 数据安全/隐私保护 iOS开发
ios和安卓测试包发布网站http://fir.im的注册与常用功能
ios和安卓测试包发布网站http://fir.im的注册与常用功能
郏国上
19 0
ios和安卓测试包发布网站http://fir.im的注册与常用功能
喜欢猪猪
|
1月前
|
开发框架 监控 Java
深入探索Spring Boot的监控、管理和测试功能及实战应用
【5月更文挑战第14天】Spring Boot是一个快速开发框架,提供了一系列的功能模块,包括监控、管理和测试等。本文将深入探讨Spring Boot中监控、管理和测试功能的原理与应用,并提供实际应用场景的示例。
喜欢猪猪
26 2
可乐鸡翅kele
|
1月前
|
消息中间件 前端开发 关系型数据库
🤔️测试问我:为啥阅读量计数这么简单的功能你都能写出bug?
🤔️测试问我:为啥阅读量计数这么简单的功能你都能写出bug?
可乐鸡翅kele
35 6
开发V_I357O98O7I8
|
1月前
|
人工智能 安全
外汇MT5/MT4交易所平台系统开发测试版/案例设计/策略步骤/功能需求/源码程序
When developing the MT5/MT4 foreign exchange documentary trading system, the following functions and intelligence can also be considered:
开发V_I357O98O7I8
32 1
曲鸟
|
1月前
|
SQL 测试技术 数据库连接
Lim接口测试平台-接口测试功能详解
Lim接口测试平台-接口测试功能详解
曲鸟
77 1
阿萨聊测试
|
1月前
|
监控 数据可视化 测试技术
什么是非功能性测试?
什么是非功能性测试?
阿萨聊测试
51 0
游客uul6wusao3sds
|
10天前
|
机器学习/深度学习 人工智能 自然语言处理
深入探索软件测试:策略、工具与未来趋势
【5月更文挑战第38天】 在软件开发的生命周期中,测试环节扮演着至关重要的角色。随着技术的不断进步和市场需求的多样化,传统的测试方法已逐渐不能满足现代软件项目的需求。本文旨在提供一个全面的软件测试概述,包括最新的测试策略、常用工具以及预测未来的发展趋势。通过分析自动化测试的效益、持续集成的重要性以及人工智能在测试中的应用,文章将帮助读者构建一个更高效、更智能的软件测试环境。
游客uul6wusao3sds
53 5

热门文章

最新文章

  • 1
    MongoDB性能最佳实践:如何制定更有效的基准测试?
  • 2
    渗透测试常用名词术语介绍
  • 3
    如何入门做物联网系统压测?
  • 4
    深入分析自动化测试中AI驱动的测试用例生成技术
  • 5
    深入解析白盒测试:提升软件质量与效率的关键
  • 6
    【专栏】AI在软件测试中的应用,如自动执行测试用例、识别缺陷和优化测试设计
  • 7
    【白盒测试】单元测试的理论基础及用例设计技术(6种)详解
  • 8
    深入理解自动化测试:框架、工具与实践
  • 9
    深入探索自动化测试框架:Selenium与Appium的对比分析
  • 10
    基于Vulnhub靶场之DC-3渗透测试过程
  • 1
    探索自动化测试工具Selenium Grid的高效集成策略
    23
  • 2
    深入理解与应用单元测试:软件质量的守护者
    26
  • 3
    自动化测试中AI辅助技术的应用与挑战
    32
  • 4
    数据结构考试测试编程题
    9
  • 5
    Golang深入浅出之-Go语言单元测试与基准测试:testing包详解
    22
  • 6
    Spring Boot单元测试报错java.lang.IllegalStateException: Could not load TestContextBootstrapper [null]
    30
  • 7
    深入理解与应用自动化测试框架Selenium的最佳实践
    62
  • 8
    探索自动化测试工具的新边界:Selenium与Appium的集成实践
    44
  • 9
    【TypeScript技术专栏】TypeScript与Cypress端到端测试
    26
  • 10
    【TypeScript 技术专栏】TypeScript 与 Jest 测试框架
    25

    • 相关课程

    更多
  • MSE微服务测试最佳实践 - 自动化回归

    • 相关电子书

    更多
  • 移动互联网测试到质量的转变
  • 给ITer的技术实战进阶课-阿里CIO学院独家教材(四)
  • F2etest — 多浏览器兼容性测试整体解决方案

    • 相关实验场景

    更多
  • 测试场景(RDS无优惠)
  • 极致弹性的PolarDB Serverless确保数据业务持续在线
  • 快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考