1漏洞盒子: https://www.vulbox.com/ 门槛比较低,几乎什么漏洞都收。 提交漏洞时,可以选择公益SRC,也可以选择企业SRC(有赏金,挖掘难度大),这些案例也可以经过脱敏处理,写到你的简历项目中。 1.1注册和漏洞提交步骤 1)注册,最好使用真实信息,方便以后挖掘专属SRC,获取赏金。 2) 登录后,先考虑挖公益SRC。 3) 提交公益SRC的漏洞,点击菜单"项目大厅" 4)点击公益src中的"提交漏洞按钮",进入到提交漏洞页面。 5) 填写提交漏洞信息 漏洞标题:西安夏溪电子科技有限公司反射型XSS漏洞 漏洞类别:事件型 参与评定:普通漏洞 厂商名称: 西安夏溪电子科技有限公司 漏洞类型:选择对应的类型即可。Web漏洞/XSS/反射型XSS 漏洞等级: 低危 漏洞简述:西安夏溪电子科技有限公司网站,查询功能中存在反射型XSS漏洞 漏洞url/功能点: http://www.xiatech.com.cn/Select.asp 漏洞poc请求包:<script>alert(1)</script> 复现步骤: 1.域名/IP归属证明 --注释:在站长工具中通过域名查询 2.打开网站首页: http://www.xiatech.com.cn/index.asp 在查找文本框中输入payload:<script>alert(1)</script> ,然后点击查找按钮。 3.点击查找按钮,弹框,说明此处存在反射型XSS漏洞 最后,填写所属地区,行业,行业分类,点击提交漏洞按钮。 修复建议: 对用户输入的查找数据,在后台做html实体字符替换。 1.2比较好挖的漏洞: 任意注册 任意登录 sql注入 xss 敏感信息泄露 2补天SRC: https://www.butian.net/ 门槛稍微高一点,有些漏洞不收的,例如,反射型XSS可能不收。对有漏洞的网站有权重的排名要求。 3 CNVD: https://www.cnvd.org.cn/ 门槛稍微高一点,在这儿提交,主要想获取CNVD颁发的原创漏洞证书。另外,可以浏览安全新闻和安全文章获取最新安全资讯和技术。 如何获取CNVD原创漏洞证书 https://zhuanlan.zhihu.com/p/628618646 https://developer.aliyun.com/article/1224737 4.教育SRC: https://src.sjtu.edu.cn/ 专属各大高校的网站漏洞提交平台 5. 各大厂商的SRC平台 https://blog.csdn.net/weixin_49944784/article/details/130436891 https://blog.csdn.net/weixin_49944784/article/details/131128107 6.国外的SRC平台 https://blog.csdn.net/weixin_42109829/article/details/126776969 7.注意事项 因为提交漏洞时,我们是没有取得书面授权的,很多事不能做的。 不能修改管理员密码 不能向网站上传木马 不能修改原有的数据 点到为止(验证网站有漏洞即可,不要做漏洞利用)。 尽量不要使用扫描工具扫未授权的网站! 不要一个漏洞在多个src平台提交。
扫一扫
1562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
