- 博客(3)
- 收藏
- 关注
RSS订阅原创 记录~鹰图检索技巧
web.body="登陆"||web.body="注册" 查找带有登陆和注册的页面。web.icon=="logo号" 通过logo查询隐形资产。icp.name="公司名称" 搜索该公司备案域名。
2024-07-15 16:54:04
332
原创 记录~灯塔收集
经验之谈:收集资产时可以创建一个对应src的总文件夹,然后从主域名,副域名等收集的资产创建自己各自的文件,灯塔探测时按顺序标号查询,创建一个word文件用来记录分类各种可能有漏洞的域名。首先第一个要看的点是:文件泄露里的api-docs、swagger-ui nacos可以使用工具验证。第四个点:WIH(监测JS里的敏感信息内容) 有key泄露、password泄露。最后,看站点,状态200,看有标签的,收录保存登陆,管理的平台站点。然后记得保存下来:actuotor/env/后台登陆页面:/admin。
2024-07-12 17:06:53
648
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人