挖洞思路 | 通过Splunk对“EDU SRC”的公开情报信息进行数据分析

最新推荐文章于 2025-03-11 14:36:48 发布
最新推荐文章于 2025-03-11 14:36:48 发布
阅读量1.2k 收藏 3
点赞数 2
分类专栏: 信息安全 文章标签: 企业安全 信息安全 数据分析 python splunk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60574457/article/details/119702486
版权
本文介绍了如何通过爬虫抓取教育行业漏洞报告平台的数据,进行分析以指导新手在SRC(漏洞赏金计划)中选择挖掘目标和方向。建议新手避免热门院校,从敏感信息泄露、弱口令等漏洞类型入手,并提供了相关上报人员的案例。通过数据可视化验证情报的有效性,为新手提供前期准备建议,包括资产信息收集、熟悉特定漏洞类型及报告编写等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 在挖SRC的过程中,“挑软柿子捏”已经算是一种常规思路。而对于刚开始挖SRC的小伙伴来说,「挑选目标」以及「挖掘漏洞的方向」似乎是一件比较让人纠结的事情。

所以,我们就在思考能否通过爬虫脚本抓取「教育行业漏洞报告平台」上的公开数据做分析,再根据各大院校漏洞公布情况输出「情报数据」,为我们在「挑选目标」以及「挖掘漏洞的方向」上提供一些「情报信息」作为参考。

「教育行业漏洞报告平台」现有的公开情报信息:

  • 漏洞列表:时间、漏洞标题、等级、漏洞上报人员
  • 全国高校漏洞排行榜:排名、单位、漏洞总数、漏洞威胁值
  • 各省高校漏洞排行榜:排名、省份、漏洞总数、漏洞威胁值
  • 用户排行榜:总排行、月排行
最低0.47元/天 解锁文章
网络安全方向相关课题和材料
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
10-30 1475
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
SRC挖掘思路及方法
m0_65606241的博客
05-11 1万+
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。
马氏五连鞭EduSrc漏洞挖掘
qax
12-07 4343
0x00前言 最近是大事没有,小事不断,被调遣到客户单位做HW蓝方,没啥意思,整天盯着防护设备等待告警,正好一王者大佬最近在挖EduSrc,让帮着搞一搞,在50星荣耀王者的诱惑下,我准备开启我的EduSrc之旅。 0x01 年轻人不讲武德 通过对某个大学的C段扫描,扫到了一个学生管理系统 简单测试了一下,发现抓包验证码不刷新,而且会提示“用户名不存在”,这里就可以进行账号密码的爆破。 很显然,我的百万大字典不配爆破,这网站不讲武德,放弃爆破。 0x02 偷袭 通过目录扫描,扫描到未
SRC挖掘思路及方法(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
kjuhfkicf154的博客
03-11 914
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
教育src挖掘经验
qq_54803507的博客
07-20 1992
教育SRC挖掘经验及思路
edusrc挖掘技巧总结
weixin_45997442的博客
04-29 1876
这里插个广告,欢迎大家关注我,以后有更多干货分享给大家对于新人刚开设挖edusrc的时候需要花大量的时间来找系统和信息收集,当你遇见的系统又waf的时候可以适当的放弃别再这上面花时间了,列入sql注入,一个单引号尝试报错和闭合(最多就是把简单的绕过尝试一下)如果不行,那就果断放弃,xss的话在edu的模块是不需要花大量时间,但是为了后面的企业src可以更好的理解xss可以尝试挖掘一些(在控制台弹窗测试,因为未授权,出了问题别找我)这就是对于top10漏洞的技巧。
小白快速入门src挖掘(以edusrc平台为例)
2302_76672693的博客
06-08 1872
小白快速入门src挖掘(以edusrc平台为例)
Snort与Splunk整合配置及数据可视化实战
# 1. 理解Snort和Splunk ## 1.1 Snort简介 ### 1.1.1 Snort的功能和特点 Snort是一个开源的网络入侵检测系统(NIDS),具有实时的网络流量分析...Splunk是一款数据分析和可视化的平台,支持各种数据源的收集、索引和
Splunk 网络App和Add-on整理总结
ffjl1985的专栏
11-24 2503
Splunk功能性 App和插件 思科 Cisco Networks App for Splunk Enterprise 包含了仪表盘、数据模型和分析来自于Cisco IOS, IOS XE, IOS XR and NX-OS数据的处理逻辑。 插件:https://splunkbase.splunk.com/app/1467/ App:https://splunkbase.splun
【Moloch数据实战分析】:如何从网络取证数据中洞悉安全威胁
![【Moloch数据实战分析】:如何从网络取证数据中洞悉安全威胁]...在数字化的世界中,数据取证是识别、收集、记录和分析电子数据的过程,以确定其在法律上
edusrc挖掘思路
热门推荐
qq_45414878的博客
05-09 2万+
edusrc挖掘思路前言思路信息搜集系统账号常见漏洞实战分享1、确定目标,语法:site:xxxx.edu.cn2、账号密码组成我们知道了,谷歌语法查找工号3、爆破登录系统4、确定功能,抓具体的url5、添加单引号,报错,是mssql6、报数据库版本,到这一步就可以交了,已经是中危了后记 前言 一月份的时候偶然注意到edusrc,起初是抱着学习的心态去挖几个洞,可是后面发现有证书,而且还贼好看,于是我动了凡心,一顿操作也拿了几本,广西民大、山东理工、同济,未到的有浙大、上海理工,证书要求证书图片可以在我个人
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
手把手教学 edu src 漏洞挖掘(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
07-10 5949
显而易见的是查询功能,那么第一反应是sql注入,如果有waf,可以轻微尝试绕过,因为edu中的系统相对于企业中就脆弱多了,当然sql注入理解的越深入,那么你挖sql注入的概率越大,任然常规操作,可以看看逻辑漏洞是否可以直接爆出密码这些。可以看到我这里使用bp进行接口爆破,然后配上bp的插件HAE,可以检测到一些存在未授权访问,敏感信息泄露的信息,常见的比如身份证号、手机号、姓名、家庭地址、毕业信息什么的。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
记一次eduSRC挖掘
guyingyinga的博客
03-04 1万+
eduSRC是一个专门收录国内高校漏洞的WEB平台,其以审核快,审核效率高而知名,白帽子提交指定高校漏洞并有证书经历以及Rank奖励,Rank可以在平台上换取衣服、键盘、证书等礼物,同样eduSRC的账号也是比较麻烦才能获得的,我研究了一下发现它有两种获取方法:我先使用了万能的百度语法搜索了一下,果然浮现在我眼前一大堆edu的站点,然后就是漫长的一个一个点击测试,什么信息收集,子域名扫描,端口扫描,都用上了(注:未经授权,禁止使用大规模扫描器),经过了漫长的测试,终究苍天不负有心人,终于被我找到了一个。 在
SRC挖掘思路及方法,从看这篇开始
z099164的博客
07-24 838
SRC挖掘思路及方法,从看这篇开始
edusrc0day挖掘技巧
qq_50854662的博客
11-24 1845
网瑞达web资源管理系统0day ps: 作为在edusrc的小白,经常看见大师傅们的刷屏,我也很向往能像大师们一样有一次刷屏的机会,于是有了这一次的渗透之旅。 思路:要想刷屏上分,就得找系统来挖掘,对于不会审计的我来说只有做一些黑盒测试(会审计大佬可以忽略这一点) 首先我们利用fofa找一些与edu有关的系统 ​ 语法:“系统” && org=“China Education and Research Network Center” 其中可以在前面加一些:阅卷系统、评分系统、直.
p86 SRC挖掘-教育行业平台&规则&批量自动化
weixin_43263566的博客
03-30 1951
p86 SRC挖掘-教育行业平台&规则&批量自动化
edusrc案例-思路总结(一)】幼儿园-挖掘链总结
05-08 7367
【全网-edusrc思路总结】寻找不一样的你
使用Splunk进行大数据分析实战指南
Splunk数据分析》是由Peter Zadrozny和Raghu Kodali编写的英文书籍,由Apress出版社于2013年出版。这本书详细介绍了如何利用Splunk工具实现大数据分析,特别是从社交媒体、机器数据、现有数据仓库和其他实时流...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值