SRC实战 | 信息泄露挖掘

最新推荐文章于 2024-06-12 16:47:09 发布
最新推荐文章于 2024-06-12 16:47:09 发布
阅读量382 收藏 9
点赞数 3
分类专栏: 计算机 互联网 网络安全 文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_0011/article/details/135965973
版权
网络安全 同时被 3 个专栏收录
351 篇文章 23 订阅
订阅专栏
计算机
313 篇文章 8 订阅
订阅专栏
互联网
262 篇文章 4 订阅
订阅专栏

1. 信息搜集

首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。
web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”

2. 漏洞挖掘

这里找到一个可以注册网站接口,先随便注册一个进去看看。

这里提供一个临时邮箱,保护自己的隐私也很重要。还是挺好用的哦!
https://temp-mail.org/zh/

注册完成登陆,点击个人中心里面我的队伍,然后创建一个。

这里结合Highlighter And Extractor (HaE)这个bp插件可以发现一些敏感信息泄露。

抓包之后发现,里面存在用户的敏感信息,身份证手机号以及个人ID等。

3. 总结

测试小技巧:测试的时候需要开启BP,可以先进入网站各个功能点一下,之后再查看HTTP历史记录,并搭配BP的插件,说不定漏洞就会展现到你面前。因为某些网站有些接口的功能,虽然前端页面不显示,但是返回包有时会泄露敏感信息。

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序员_大白
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
SRC实战 | 爆破新思路分享
hackzkaq的博客
02-20 552
仔细想了想,还是上面那句话,只要是这个平台的账号在XX大学那个实验平台就可以登陆,我懂了,就是可能用同一个数据库,使用了相同接口,没有限制,那就有说法了,虚拟仿真实验平台没法爆破,这个XX大学就没法爆破吗?总结一下,当我们碰到一个大站的时候不要慌,可以去找它分出去的接口,比如说上面第一个站对用户信息保护的很好,不能爆破,但是它分出去了很多接口,共享数据库,我去找了一个有漏洞的点,去爆破了它的用户信息,结果就是那个大战的用户信息泄露了。本文由掌控安全学院 - alert1 投稿。帮助你在面试中脱颖而出。
SRC实战 | 任意密码重置绕过
2301_80127209的博客
01-19 392
本文由掌控安全学院 - 叴龙 投稿
SRC之SQL注入漏洞挖掘实战
aokaomo的博客
12-26 1231
1、什么是 SRC?3、SRC 漏洞的类型 SRC 漏洞可以分为诸如 SQL 注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、代码注入等许多类型(该知识点也是我在微信公众号推文看到的,如有侵权,请联系我,立马删除,另外该公众号为“id=96 公司(在后面加个公司是为了防止搜出来的全是英文,国内是无法使用谷歌的,得有点魔法才行,或者可以使用谷歌镜像,这里给个链接。2、SRC 的工作过程 SRC 的成员发现漏洞,确认漏洞,报告漏洞,修复漏洞,并公开发布漏洞信息和修复信息
记一次SRC实战-信息泄露
YINGXXX123的博客
01-23 1041
SRC实战信息泄露。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括:有关其他用户的数据,例如用户名或财务信息敏感的商业或商业数据有关网站及其基础架构的技术细节泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他有趣的漏洞。有时,敏感信息可能会不慎泄露给仅以正常方式浏览网站的用户。但是,更常见的是,攻击者需要通过以意外或恶意的方式与网站进行交互来引发信息泄露
实战SRC漏洞挖掘全过程,流程详细【网络安全
2301_77645834的博客
04-28 742
记录一次完整的某SRC漏洞挖掘实战,为期一个多星期。文章有点长,请耐心看完,记录了完整的SRC漏洞挖掘实战
SRC漏洞挖掘经验+技巧篇
weixin_41489908的博客
07-25 4834
一、漏洞挖掘的前期–信息收集 虽然是前期,但是却是我认为最重要的一部分; 很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。 1、域名信息收集 ​ src一般都只收对应的漏洞,很多src的公告里面就会明确范围;然后我们就需要根据这些范围来确定域名。 如果src上面没有给出范围,那么需要我们去搜集,你
SRC挖掘信息收集之JS文件中的秘密
一个安全研究员
09-11 4038
js中有很多东西呀
超级干货!SRC漏洞挖掘项目实战经验分享
m0_71744960的博客
06-10 4075
SRC漏洞挖掘是指通过对软件和系统进行安全测试和分析,发现和利用SRC漏洞的过程。SRC漏洞通常是由于软件设计、实现或配置中的错误或缺陷导致的,这些错误或缺陷可能会被黑客利用来攻击系统,造成数据泄露、系统崩溃、加密货币盗窃等安全问题。
挖洞实战信息泄露与前端加密
蚁景网安学院
04-06 4628
在挖洞过程中,很容易找到一些登录/忘记密码是手机验证码验证的站,有些站对发送验证码这一环节并未做太多的限制,理论上可以借助这个漏洞进行爆破,从而得出数据库内所有已注册手机号,这也算一种信息泄露。这种洞十分好挖,对技术要求不高,很适合SRC入门!
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
2. SRC的规则:漏洞挖掘中的个人经验和技巧分享中,SRC的规则也是非常重要的,包括信息收集、域名收集、IP段收集、端口扫描等方面。 3. 漏洞挖掘技巧:漏洞挖掘中的个人经验和技巧分享中,漏洞挖掘技巧也是非常重要...
SRC漏洞挖掘经验分享
07-24
SRC漏洞挖掘经验分享
基于拓扑漏洞分析的网络安全态势感知模型
attack2001的专栏
06-07 909
漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等,分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击,构建拓扑漏洞图,展示网络中可能存在的薄弱环节,以此来评估网络安全状态。在网络安全形势日益恶化的今天,如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间,成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法,使得网络资产漏洞态势的理解和分析计算难以进行。
网络安全(补充)
最新发布
m0_62207482的博客
06-12 998
虚拟专用网中可以采用隧道技术 IPSec的加密和认证过程中所使用的密钥由IKE机制来生成和分发 传输模式下的AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头 SSL协议可分为两层,处于下层的是SSL记录 SSL握手协议,由三种协议组合而成,包含握手协议、密码规格变更协议及报警协议。其用途是在两个应用程序开始传送或接收数据前,为其提供服务器和客户端间相互认证的服务,并相互协商决定双方通信使用的加密算法及加密密钥 属于第二层隧道协议的是PPTP和L2TP,第二
国内外网络安全现状分析
waitaikong_的博客
06-10 451
综上所述,无论是国内还是国际层面,网络安全都是一个复杂且不断演变的领域。面对日益严峻的网络安全威胁,需要政府、企业和个人共同努力,不断提升技术防护能力,加强法律法规建设,并通过国际合作共同应对挑战。同时,加强网络安全教育和人才培养也是保障网络安全的重要环节。在未来,随着技术的不断进步和国际合作的加深,我们有理由相信网络安全状况将会得到进一步的改善。
bad src image pointers
03-16
"bad src image pointers" 的意思是“无效的源图像指针”。这通常是指在处理图像时,程序无法识别或访问图像的源指针,可能是由于指针错误、内存泄漏或其他问题导致的。需要检查代码并修复问题,以确保程序能够正确处理图像。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值