我是如何挖掘src漏洞的

最新推荐文章于 2024-05-23 20:55:38 发布
置顶 最新推荐文章于 2024-05-23 20:55:38 发布
阅读量1.2k 收藏 5
点赞数 4
分类专栏: 网络安全 渗透测试  运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingcnmb/article/details/113828695
版权

我是如何挖掘src漏洞的

我拿到一个网站先看看网页。看网址后面存在注入漏洞没有,然后网址后面加robots.txt看看存不存在敏感信息泄露,然后再收集子域名,进行简单的弱口令爆破,用扫描目录的扫描目录看看有没有上传漏洞和遍历漏洞及敏感信息等等,建议除了有的字典再根据平时挖漏洞扫描的最多的目录,自己再制作属于自己的字典,还有就是后台弱口令爆破和后台注入,验证码爆破漏洞,盘多多等等网盘收集一些泄露的信息,也存在中危漏洞,谷歌语法的使用,商场网站多找逻辑漏洞,注册点和购买商品存在的漏洞多,根据网站来确定使用什么方法来挖。网站不同存在的漏洞多少的地方也不同。还在微信公众号里面找一些工具的使用和介绍。

kingcnmb
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎么入门SRC漏洞挖掘src漏洞新手怎么入门
weixin_68789096的博客
06-16 2349
SRC漏洞挖掘是现代互联网安全领域的一个重要分支,是许多企业和组织确保其软件和数据安全性的必要手段。虽然SRC漏洞挖掘看上去很高级,但其实它所涉及的一些基础知识和工具都是可以学习和掌握的。
实战|自动化批量SRC漏洞
2301_76168381的博客
04-03 990
自动化批量漏洞原理是将目标资产让爬虫工具爬取,把数据通过burp发送给xray进行漏洞扫描。
SRC 漏洞挖掘:开发厂商.(批量通杀)(教育漏洞报告平台)
最新发布
网络安全领域___专研者.
05-23 383
SRC (Security Research Center) 漏洞挖掘是一种专门针对网站和应用程序安全漏洞进行发现和研究的活动。SRC 漏洞挖掘通常由安全研究人员或专业的安全团队执行,目的是及时发现和修复系统中存在的安全隐患,提高系统的整体安全性。这项工作对于保护网站和应用程序免受黑客攻击非常重要。
2023最新SRC漏洞挖掘快速上手攻略!
2301_77732591的博客
06-07 3591
随着网络安全的快速发展,黑客攻击的手段也越来越多样化,因此SRC漏洞挖掘作为一种新的网络安全技术,也在不断发展和完善。那么,作为一个网安小白如果想要入门SRC漏洞挖掘,需要掌握哪些知识呢?以下是本人通过多年从事网络安全工作的经验,综合网络上已有的资料,总结得出的指导SRC漏洞挖掘入门的详细介绍。1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞挖掘漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。
edusrc-web:edusrc用户主页数据分析与查询
03-15
edusrc网站 edusrc用户主页在线数据分析与查询
安全技术-挖掘src之路-高清PDF
07-02
所谓完事开头难。 对于我们个人而言,决定认认真真挖掘一家厂商漏洞时,刚开始最难的就是信息收集,这是耗费精力最大的,占用时间最长的一个环节,而且它是一个持续的过程。 SRC漏洞挖掘中需要收集的信息大概包括 1.厂商的域名和IP段 2.厂商的业务信息
SRC漏洞挖掘经验+技巧篇
weixin_41489908的博客
07-25 4873
一、漏洞挖掘的前期–信息收集 虽然是前期,但是却是我认为最重要的一部分; 很多人洞的时候说不知道如何入手,其实洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。 1、域名信息收集 ​ src一般都只收对应的漏洞,很多src的公告里面就会明确范围;然后我们就需要根据这些范围来确定域名。 如果src上面没有给出范围,那么需要我们去搜集,你
(2023版)零基础入门网络安全/Web安全,收藏这一篇就够了
bigbangbangbang1的博客
03-24 249
废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。在这个圈子技术门类中,工作岗位主要有以下三个方向:安全研发安全研究:二进制方向安全研究:网络渗透方向下面逐一说明一下。
SRC漏洞挖掘实战经验总结
10-28
本篇文章将基于"SRC漏洞挖掘实战经验总结"的主题,深入探讨相关知识点。 一、SRC漏洞挖掘的基本概念 SRC,即安全响应中心,是企业或组织为了管理和处理安全事件设立的专门机构。漏洞挖掘则是SRC的核心任务之一,...
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
"SRC漏洞挖掘经验和技巧分享" 本文档主要分享了SRC漏洞挖掘的经验和技巧,涵盖了SRC个人推荐、SRC的规则、漏洞挖掘中的个人经验和技巧分享等方面。 一、SRC个人推荐 SRC个人推荐排名不分先后,只为排版好看白帽子...
国内SRC漏洞挖掘技巧与经验分享
01-29
本文将深入探讨国内SRC漏洞挖掘的技术和经验,帮助网络安全专业人士提升其在该领域的技能。 首先,我们要理解漏洞挖掘的基本概念。漏洞是软件或系统中存在的缺陷,可能被黑客利用来执行恶意操作,如非法访问、数据...
新手SRC漏洞挖掘经验分享
08-21
新手SRC漏洞挖掘经验分享 SRC漏洞挖掘是一个复杂的过程,需要新手们具备一定的知识和经验。在这篇文章中,我们将分享一些SRC漏洞挖掘的经验和知识,包括SRC的概念、入坑潜规则、信息收集、漏洞挖掘等方面。 SRC的...
src逻辑漏洞挖掘经验分享
热门推荐
dust_hk的博客
05-07 1万+
文章转自公众号:物联网IOT安全 1.资产收集 1.1业务范围 巧用搜索引擎首推谷歌查看了解src旗下涉及到的业务,收集其对应的业务下的域名,在进一步进行挖掘,比如: 整理后,在进行常规资产收集。 1.2常规性质资产收集 基本的资产收集方式:子域名枚举、端口扫描、路径扫描、旁站c段查询 子域名 子域名爆破: sublist3r、subdomainsBurte、DiscoverSubdomai...
漏洞挖掘经验分享
qq_53058639的博客
03-15 1456
之前运气好,到的一个洞的思路就分享给大家,首先是通过一个很微小的信息泄露在http的响应头中,找到了他们使用的cms版本号,后来通过搜索市面上的漏洞,发现最新版的问题都不存在了,后来又下载了最新的源码进行了代码审计,然后正好那段时间在学,就发现了个sql注入点。3.找大师傅们尽量听他们给的建议,或者给你的规划,而不是说一味的去问怎么洞,这种问题就相当于,一个小孩还不会写字,在让你教他写作文一样,毫无意义,这个过程需要自己慢慢的积累和学习,而不是让别人喂,来让别人施舍,只会让别人看不起自己!
记一次SRC实战-信息泄露
YINGXXX123的博客
01-23 1068
SRC实战信息泄露。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括:有关其他用户的数据,例如用户名或财务信息敏感的商业或商业数据有关网站及其基础架构的技术细节泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他有趣的漏洞。有时,敏感信息可能会不慎泄露给仅以正常方式浏览网站的用户。但是,更常见的是,攻击者需要通过以意外或恶意的方式与网站进行交互来引发信息泄露。
记一次中职全国大赛某管理平台的逻辑漏洞挖掘
cike_y
03-14 459
一次日常空闲的洞笔记,虽然这次实战总结的比较基础,但是也收获了很多经验。多实战多总结技巧,一定会有所进步的。
记一次实战逻辑漏洞挖掘
weixin_44750308的博客
03-02 674
记一次实战逻辑漏洞挖掘
白帽子成长之路 (2019.2.6)
weixin_30449453的博客
11-20 279
白帽子成长之路 (2019.2.6) 白帽子成长之路 本人学习之路的总结,会不定时更新 方向 web安全 渗透测试 无线安全 漏洞挖掘 代码审计 安卓/ios安全 逆向 密码学 linux内核 LoT安全 就业(参考) 渗透测试工程师 10k-30k/月 高级渗透测试工程师 30k-50k/月 代码审计师 10k-40k/月 高级代码审计...
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
Android_wxf的博客
03-21 1152
web渗透这个东西学起来如果没有头绪和路线的话,是非常烧脑的。理清web渗透学习思路,把自己的学习方案和需要学习的点全部整理,你会发现突然渗透思路就有点眉目了。程序员之间流行一个词,叫35岁危机,,意思就是说35岁是个坎,容易被淘汰。那么安全行业有这个坎吗?我觉得没有,因为安全和之前岗位不一样,年龄大的他经验更丰富,反而比较吃香,尤其很多大厂招聘要求都是5-10年,这没有30、40岁能有10年经验?网络安全好混,但不容易混得好。其实任何行业都是这样,想混得好,必须不断学习提升。
企业src漏洞挖掘技巧
07-09
企业在进行漏洞挖掘时,需要掌握一些SRC(Security Researchers and Coordination)漏洞挖掘技巧。首先,企业应该建立一个SRC计划,鼓励安全研究人员积极参与漏洞挖掘,并提供有意义的奖励计划来激励他们的参与。 其次,为了有效地挖掘漏洞,企业需要建立一个漏洞协作平台,以便安全研究人员能够及时报告发现的漏洞,并与企业的安全团队进行合作。这个平台应该提供一个安全的渠道,使研究人员能够匿名地提交漏洞报告,并与企业安全团队进行有效的沟通和协作。 此外,企业还应该定期在SRC平台上发布有关其系统、应用程序或网络环境中存在的已知漏洞的信息。这样,安全研究人员就可以更集中地针对这些漏洞进行挖掘,从而帮助企业及时发现并修复漏洞,提高系统的安全性。 此外,企业还可以通过组织SRC漏洞挖掘大赛或Hackathon等活动,吸引更多的安全研究人员参与其中。这些活动不仅可以帮助挖掘出更多的潜在漏洞,还能为企业塑造一个安全意识的企业形象。 最后,企业还应该与其他企业或组织建立合作关系,共享漏洞信息和挖掘经验。这样可以提高安全研究人员的技术水平,并加强整个行业对漏洞挖掘的防御能力。 综上所述,企业在进行SRC漏洞挖掘时,需要建立SRC计划,建立漏洞协作平台,定期发布已知漏洞信息,组织相关活动,以及与其他企业合作共享资源,这些技巧将有助于提升漏洞挖掘的效果,并加强整个企业的安全防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值