为什么现在的web漏洞越来越难挖?(手工挖DOM XSS更难)

最新推荐文章于 2024-01-24 15:59:48 发布
最新推荐文章于 2024-01-24 15:59:48 发布
阅读量1.1k 收藏
点赞数
分类专栏: WEB 安全 文章标签: 安全 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jun2016425/article/details/118442168
版权
随着hackerone社区注册黑客数量的逐年增长,参与web漏洞挖掘的人数也在增加。尽管如此,手工挖掘DOM XSS漏洞变得日益困难,因为自动化工具如BurpSuite Pro已具备自动扫描功能,并且结合AI和机器学习的方法也在逐步提升DOM XSS的检测效率。
摘要由CSDN通过智能技术生成

hackerone黑客注册人数逐年增加

我们先看一下hackerone社区的报告:

  • 2018年hackerone社区注册人数30万
  • 2019年hackerone社区注册人数60万
  • 2020年hackerone社区注册人数超过100万
    2020年hackerone注册人数报告:
    在这里插入图片描述

在挖web漏洞的人的比例

在这里插入图片描述因为一个人可以同时挖多个大的漏洞类型:比如你既参与了web 程序,又参与了Blockchain程序的漏洞挖掘。
就是这100万(2021年了,人数应该不止了这个数了)注册的人中,有96万人参与web程序漏洞的挖掘。

手工挖DOM XSS越来越难

  • BurpSuite pro本身就有自动扫描DOM XSS漏洞的函数
最低0.47元/天 解锁文章
jun2016425
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学了半年的渗透了,还不到漏洞怎么办?
weixin_54787877的博客
03-13 4805
转眼已经3月份了,无论是对于即将毕业的大学生们,还是对于已就业的社会人群,如何择业、转岗,提升技能,成了时下最热门的讨论话题。 近期后台就收到很多粉丝的留言,最多的就是关于:“很迷茫,成为高薪黑客,不知道从哪下手.” “碰到了瓶颈期,不知道如何突破” 更有小伙伴私信:“学了好几个月的渗透,就是不到漏洞” 小编后面也去知乎上看了下,存在这种问题的原来还有很多... 更有甚者提出“做渗透如何赚外快” 关于前景,网安毋庸置疑是个吃香的行...
为什么你不到漏洞,阿里P8架构师亲授秘籍(五千字详解)
Appleteachers的博客
04-10 1006
你为什么不到漏洞 你是不是在为学不会安全而烦恼? 你是不是在为不到漏洞而沮丧? 你是不是为实战洞毫无思路而丧失信心? 不要悲伤,不要心急忧郁的日子总会过去。假如生活欺骗了了你,不要沮丧,因为生活只是把你买了没空搭理你。 看完我这篇文章就会让你重拾信心 目录 一、你为什么不到漏洞 二、道理都懂如何操作 三、常用工具有哪些 四、都有哪些漏洞可以 五、到这些漏洞就可以了吗 言归正传,我相信很多人学完网上的安全课程,都是充满信心,想找个网站来试试,结果是要么一堆error 要么就是IP被封。度真的
对某大型企业的一次web漏洞掘过程
HRay's blog
04-12 719
前段时间利用周末时间对某大厂做了一次web安全检测,已经很久没搞,但是自己近几年没有脱离业务,并且对业务的理解有进一步的加深,反而可以到按以前的思路可能不到的漏洞,所以将大概的思考过程记录下来,因为是有稿费的,所以这里只贴上链接吧 对某大型企业的一次web漏洞掘过程 ...
文件包含漏洞(原理及介绍)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-08 5969
File inclusion,文件包含(漏洞)。程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞。文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞.
漏洞原理我都懂,为什么就这么
最新发布
2301_76168381的博客
01-24 899
进入今天正题之前,我先说一下上一篇文章为什么拿下博彩后台不能帮朋友追回资金。
web漏洞xss反射型实战
08-31
文档
web漏洞XSS_TEST漏洞实践练习代码
04-25
Web漏洞中的XSS(Cross Site Scripting)攻击是一种常见的安全问题,主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...
Web应用进行XSS漏洞测试
03-03
WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
XSS漏洞 DOM型测试 payload代码
02-26
XSS漏洞 DOM型测试 payload代码 这是测试跨脚本攻击是否有DOMXSS漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。
我的HackerOne漏洞赏金平台漏洞掘流程
Ba1_Ma0的博客
04-25 8062
高强度在国外的hackerone平台了一周的漏洞,在这里分享一下经验
如何入门漏洞掘,以及提高自己的掘能力
m0_61101264的博客
05-11 304
大家好我是米斯特团队的一员,我的id香瓜,我们团队在这次i春秋第二次漏洞掘大赛中,包揽了前五名,我key表哥一不小心拿了一个第一,导致很多人来加他好友问他,如何修炼漏洞掘能力,我今天帮大家解答一下这个疑问,哈哈哈。漏洞掘是安全圈的一个核心之一,但是随着各大厂商安全意识的增强,以及各类waf的出现。一些像sql注入,文件上传,命令执行这些漏洞也不是那么好了。而面对大的厂商,就像各种src,资产丰富,业务庞大,对于刚刚学完基础开始着手漏洞掘的小白来说,拿到手后,就显得有些迷茫(就比如我)。
漏洞掘分析技术总结
dzqxwzoe的博客
02-04 636
漏洞掘分析技术有多种,只应用一种漏洞掘技术,是很完成分析工作的,一般是将几种漏洞掘技术优化组合,寻求效率和质量的均衡。
利用谷歌黑客语法漏洞
weixin_30858241的博客
03-12 592
谷歌黑语法 在这里不对怎么访问谷歌进行说明. 只针对语法. inurl:搜索包含有特定字符的URL。例如输入“inurl:/admin_login”,则可以找到带有admin_login字符的URL,通常这类网址是管理员后台的登录网址 intext:搜索网页正文内容中的指定字符,例如输入“intext:上科互联”。这个语法类似我们平时在某些网站中使用的“文章内容搜索”功能。这...
细说漏洞
ZL_1618的博客
03-15 107
漏洞分析漏洞利用漏洞掘从笔者个人的感觉上来看,这三者尽管通常水乳交融、相互依赖,但度是不尽相同的。本文就这三者分别谈谈自己的经验和想法。
解开黑客的神秘面纱,漏洞其实很简单!
youmaob的博客
06-27 113
现在的环境对于洞来说是极好的,各种安全漏洞平台,安全众测平台,安全媒体平台通过各种宣传,运营,活动带给白帽子们极大的荣誉感和归属感,不仅保证了初学者可能的踩红线行为,也保证了学成者资金奖励的可靠性。无论是从事安全工作的“白帽子”,还是从事黑灰产的“黑帽子”,在经历了国内法律的健全以及生活成本的压力,逐渐变得低调,枪打出头鸟,还不如闷声发大财。,使用技术的人有的走向白道,有的走向黑道,于是便有了江湖,Web安全工程师,漏洞提交平台,白帽子,这一切正面的产物,都是为了对抗掌握同样技术的反派。
黑客技术要达到什么程度可以做到漏洞掘?
dexi113的博客
06-05 206
对于漏洞掘所需技能层次的概述,以及所需技术能力。
学渗透理论都懂,就是不到漏洞怎么办?
瓦罗兰特顶级C位的博客
06-05 173
未来3-5年,是安全行业的黄金发展期,现阶段网络空间安全建设已达到了刻不容缓的地步!在这一背景下,网络安全人才短缺问题日益突出,网络安全人才严重匮乏,可谓一将求。而整个行业还处于一片蓝海!许多人看到这一缺口,蜂拥而至迈入了这个行业。
什么是XSS跨站脚本漏洞?如何防范?
04-03
XSS(Cross-Site Scripting)跨站脚本漏洞是一种常见的Web安全漏洞,攻击者通过在Web应用程序中插入恶意脚本,使用户在浏览器端执行这些脚本,从而达到攻击目的。 攻击者通常通过输入框、评论区、搜索框等用户可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值