对渗透新人的几点建议_渗透新人建议csdn，HarmonyOS鸿蒙界面开发案例

最新推荐文章于 2024-11-11 23:29:23 发布

2301_82241942

最新推荐文章于 2024-11-11 23:29:23 发布

阅读量692

点赞数 20

分类专栏： 2024年程序员学习文章标签： harmonyos 华为

本文链接：https://blog.csdn.net/2301_82241942/article/details/137901903

版权

2024年程序员学习专栏收录该内容

57 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新HarmonyOS鸿蒙全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

htt

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上鸿蒙开发知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注鸿蒙）

正文

各大互联网SRC，能够在补天专属SRC挖洞，基本可以去各个互联网SRC挖洞了，无论大小厂的SRC都可以尝试。
掌握利用简单、危害高的逻辑漏洞常见的简单高危漏洞，提交漏洞要制造出高伤害：
竞争条件漏洞（并发抽奖、领取、提现等）
水平越权：当一个公司用户量越大，越权造成的用户数据泄露越多，对甲方的危害极大。注意提交漏洞时，可以遍历一下泄露用户数量的上线，有时候一个简单的越权，泄露几百万用户信息，但切不可拖数据(犯罪)，遍历统计上限和样本即可。
各种刷量的逻辑漏洞：例如电商的抢优惠卷，社区的刷点赞、人气、视频的刷播放量等。
测试逻辑漏洞是，注意Response返回包中的信息，有些Response返回包的参数被篡改后，会进入下一步逻辑流程，并使用被篡改的参数在下一步流程提交。
学习前端跨域漏洞：JSONP劫持、CORS、CSP等面试过不少年轻的白帽子，不熟悉前端跨域漏洞。在不少互联网公司JSONP劫持是常见的漏洞，建议大家要学会前端漏洞挖掘和基础知识。
提交漏洞要做出高危害几个例子：
SSRF:内网应用越多，危害越大。提交漏洞不要只扫描一下内网访问多个系统就提交了，建议拿下一个内网应用的权限，内网应用通常漏洞多，弱口令多，造成高危害后提交。
水平越权:上面说过了，遍历出影响的用户量，如造成用户数据泄露或篡改，遍历泄露的用户数据量、可篡改量。
XSS:能打到几个账号的Cookie并登录最好，或接收到后台的cookie登录后台，将漏洞尽可能升级其影响范围。
其他漏洞类似，尽可能做出高危害和对业务的影响。
要多挖APP漏洞，移动互联网时代，很多互联网公司90%以上的流量在APP端。
渗透人员要学会代码层如果修复漏洞，尽量细化到用哪个函数（会攻击也会防御）例如：指导研发修复要细化到修复漏洞的函数和示例代码，后端用函数，前端过滤为了减少后端服务器的计算压力。
代码层如何修复xss漏洞：后端：在html输出用哪个函数过滤，在JavaScript中输出，用哪个函数过滤等；前端对输入做哪些过滤。
代码层如何修复SQL注入漏洞：后端PHP代码用哪个函数，JAVA代码怎么做。前端对用户输入做哪些过滤。
水平越权的修复：校验用户Session，不能只校验uid等等。
其他漏洞修复类似，不要只提一句话修复文字，最好能够细化到代码层的实现，或者逻辑的设计，针对逻辑漏洞，说明逻辑，或者能画出逻辑流程图和文字更好，方便产品经理和开发理解。