src小白入门简介

于 2024-08-28 10:39:17 发布
阅读量1.7k 收藏 10
点赞数 4
文章标签: 安全 网络安全 src
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/141634724
版权

隐雾src01

为什么别人挖得到洞你挖不到?

相信有很多师傅都有在网上看过不少别人发的挖洞的文章

为什么你看完之后感觉自己懂了,但真正去实战的时候却挖不到?

这就涉及到一个知识转化率的问题

在读完这篇文章之后你有没有抓住细节、抓住该学习的点呢?

以前怎么样不重要,现在教你们怎么去读一篇文章,然后学习到自己想要的

这里我拿北山的一篇文章做例子:

https://mp.weixin.qq.com/s?__biz=MzkzNzM1MTcwMA==&mid=2247484916&idx=1&sn=15c2e776

20901aadf867311fee2b5684&chksm=c2918a8ff5e60399da42eb52c2d0f3e9ce5e8d3e29ffa22ddc0

91fbf6c898f5a289c3f496505&scene=126&sessionid=1689385989#rd

在读文章的时候呢,着重去抓以下几个点去看

1. 漏洞的产生点(漏洞在哪个功能点?如何发现漏洞的?)

2. 漏洞的类型(实际上很多新奇的挖洞思路都是经典漏洞的变种,弄清这个会让我们举一反三)

3. 漏洞的利用方法(大多人只关注这一点,但不可置疑确实它很重要)

4. 遇到问题之后的解决方法(例如说环境版本的问题、有 Waf 绕 Waf、常规思路受阻...)

漏洞产生点:个人页面 -> 账户信息 -> 绑定微信

漏洞类型:GET 型 CSRF

漏洞的利用方法:抓绑定自己微信的请求 URL,然后将其发给受害者,诱骗受害者点击之后劫持他的账

号。

遇到问题之后的解决方法:无

SRC 挖掘的底层逻辑是什么?

SRC 即 Security Emergency Response Center

主要针对科技互联网企业常见的安全漏洞而特别设立的机构

啥意思呢?其实就有点像 RPG 游戏里的那一种冒险者公会

一开始,你先要注册冒险者的身份(注册 SRC 平台的账号)

然后去接任务,不断打怪拿素材,最后获得赏金(在企业公开的域名里面找漏洞,然后提交获得赏金)

要注意的是,你和 SRC 之间并不存在所谓的雇佣关系,你们是平等的

当你们受到不公平的对待的时候要大胆说出来

要想理解 SRC 挖掘的底层逻辑,要从这两个方面入手

1. 企业 SRC 要什么?

2. 你能给什么?

很多人挖公益 SRC 可以但是企业 SRC 不行就是因为没搞懂这两点

这个算不算漏洞啊?我感觉他们可能不会收...

我怎么找不到 SQL 注入啊?那这里应该是没漏洞了...

为什么我看别人都是挖的洞都是从 APP、小程序里出来的?我不会测 APP 啊,怪不得我挖不到洞...

大多数人新手在挖 SRC 的时候都不会去看 SRC 的手册

更别提去看看他们家 SRC 到底收录什么样的漏洞了...

最后造成的结果就是 —— 开始就直接挑战高难度漏洞利用

绕 waf、Fuzz ...最后啥都没测出来,然后就开始百度

“SQL 注入 waf 绕过”

“XSS waf 绕过”

“挖洞是不是要用扫描器?”

...

遵纪守法的挖掘 SRC

稍稍总结一下,要遵纪守法的挖掘 SRC ,要满足以下几点:

1. 漏洞细节不泄露(再不济要脱敏脱敏再脱敏,码上厚码没人知道这是哪家的)2. 敏感数据不留存(测试时仅获取 5 条数据验证危害即可,而且测试完之后立刻删除)

3. 深度利用不可取(传 webshell、内网探测、下载源码都不行,SSRF 只能测专门的 URL)

4. 影响业务不可测(影响业务的、影响用户体验遭投诉的、Dos 类的攻击都不可取、测试越权要自己

注册两个账号来测试)

5. 社工攻击不可行(除了打攻防,没有哪家的 SRC 是允许你钓鱼的)

6. 危险操作不可有(像 sqlmap 跑 risk > 1 的有很大风险,容易搞夸网站的行为不要做、改密码、

INSERT、UPDATE、DROP 的 SQL 注入不要做)

遵循这六点,然后平时挖 SRC 的时候再保守一点

小春学渗透
关注
怎么入门SRC漏洞挖掘,src漏洞新手怎么入门
weixin_68789096的博客
06-16 2399
SRC漏洞挖掘是现代互联网安全领域的一个重要分支,是许多企业和组织确保其软件和数据安全性的必要手段。虽然SRC漏洞挖掘看上去很高级,但其实它所涉及的一些基础知识和工具都是可以学习和掌握的。
怎么入门SRC漏洞挖掘
hdwlwang的博客
05-08 2043
2. SRC的工作过程 SRC的成员发现漏洞,确认漏洞,报告漏洞,修复漏洞,并公开发布漏洞信息和修复信息。2. 漏洞识别漏洞识别是SRC漏洞挖掘重要的一步。3. 拓展攻击面针对已经确定的漏洞,可以尝试进一步拓展攻击面,以便确定该漏洞的影响范围、漏洞的类型等信息。总结: SRC漏洞挖掘工作需要遵守法律和道德、多人协作,并加强注意事项的细节,只有这样,我们才能更好地保护系统安全、预防恶意行为对系统带来的破坏。2. 加强团队合作 SRC漏洞挖掘需要团队合作,漏洞挖掘工作需要多人协作,以确保发现并解决所有漏洞。
SRC相关知识分享
北冥同学的成长记录笔记
04-26 9576
SRC是企业采用众测的方式,将企业内部的部分系统开发出来,供社会上散布的白帽子黑客进行渗透测试,通过奖金和荣誉等激励措施,鼓励白帽在黑客在SRC平台上传漏洞,以此获取实时的漏洞,进而第一时间修复漏洞。
超级干货!SRC漏洞挖掘项目实战经验分享
最新发布
2401_84618514的博客
08-13 939
SRC漏洞挖掘是指通过对软件和系统进行安全测试和分析,发现和利用SRC漏洞的过程。SRC漏洞通常是由于软件设计、实现或配置中的错误或缺陷导致的,这些错误或缺陷可能会被黑客利用来攻击系统,造成数据泄露、系统崩溃、加密货币盗窃等安全问题。SRC漏洞挖掘是一项非常重要的工作,它可以帮助软件开发者和系统管理员找出存在的漏洞并及时修复,以保障系统的安全性和稳定性。SRC漏洞挖掘需要掌握一定的安全技能和知识,包括但不限于代码审计、漏洞分析、渗透测试等。
SRC知识分享【干货满满】
hacker3062的博客
09-15 1万+
缺陷报告平台:(包括但不限于,持续更新中)CNNVDCNVDCICSVD补天漏洞盒子火线安全平台EDUSRCxSRC平台:(包括但不限于,持续更新中)阿里巴巴阿里云先知安恒爱奇艺安全狗百度BOSS直聘哔哩哔哩贝壳菜鸟滴滴出行点融网东方财富斗鱼大疆斗米度小满Dhgate饿了么263法大大富友G:|瓜子华为恒昌货拉拉好未来合合华住火线金山办公金山云京东焦点竞技世界酷狗快手旷世L:联想------理想猎聘。
网络安全是怎样练成的.5——SRC外快之路
hk_hkl的博客
05-06 1556
网络安全入门文章No.5
前端小白入门系列课程完整版
02-22
图标"icon.jpg"可能是课程的logo,而"前端小白入门系列课程完整版.zip"则包含了整个课程的视频、讲义、练习材料等资源,等待你去探索和学习。这个课程对于零基础的前端新手来说,是一条通往专业开发者的理想路径。
vue小白入门教程
08-27
Vue 小白入门教程 本篇文章为初学者提供了一个详细的 Vue 入门教程,介绍了 Vue 的基本概念、环境搭建、第一个 Vue 应用程序、生命周期等知识点。 一、Vue 是什么 Vue 是一套用于构建用户界面的渐进式框架,压缩...
小试SVG之新手小白入门教程
10-17
<embed id="embed" src="icon.svg" type="image/svg+xml"> <iframe id="iframe" src="icon.svg"> ``` SVG文件还可以以base64编码的形式,作为Data URI内联到HTML中,如下所示: ```html <img src="data:image/svg+...
Spring Boot 之小白入门
weixin_46075497的博客
09-20 278
一. Spring Boot 开发入门— helloworld web 1.在Idea上创建基于Spring Boot的web 项目,当客户端浏览器访问该web资源时,返回的网页显示 “helloword Spring Boot!这是一个用Spring Boot开发的网站。” 首先,创建一个project 点击Finish即可创建完成。 完成以后是这样一个界面,接着我们在src/main/java/comexample.demo文件下创建一个controller文件夹 package com.e
某网 小白 入门前端视频
08-07
- 示例:`<img src="image.jpg" alt="示例图片">` #### 2.3 常用标签 - **标题标签**:`<h1>`至`<h6>`,表示不同级别的标题。 - **段落标签**:`<p>`,用于定义文档中的段落。 - **链接标签**:`<a>`,用于创建...
前端面试题-url、href、src
weixin_33725270的博客
03-20 3585
一、URL的概念 统一资源定位符(或称统一资源定位器/定位地址、URL地址等,英语:Uniform Resource Locator,常缩写为URL),有时也被俗称为网页地址(网址)。如同在网络上的门牌,是因特网上标准的资源的地址(Address)。 二、URL的格式 2.1 标准格式 协议类型:[//服务器地址[:端口号]][/资源层级...
SRC漏洞挖掘,掌握网络安全入门必备技能,轻松应对网络攻击!“
weixin_51725318的博客
06-14 1427
"SRC漏洞挖掘,掌握网络安全入门必备技能,轻松应对网络攻击!"
SRC挖洞骚思路整理
Liyu_6618的博客
02-02 1123
SRC漏洞挖掘思路整理
绝对干货!src漏洞挖掘经验分享
热门推荐
南迪叶先森
07-16 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! src漏洞挖掘经验分享 – 掌控安全以恒 一、公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。 在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。.
SRC漏洞挖掘经验+技巧篇
Innocence_0的博客
09-19 1079
在HP Data protecetor Media Operations 的客户端连接服务端时,通过私访有的通信协议,客户端会首先检查[系统分区]:\Documents and Settings[用户名]\Application Data 下面是否有相应的资源(如插件等),如果没有,则会向服务器请求需要的文件,服务器没有验证请求的文件名的合法性,而且这个过程不需要任何验证,攻击者精心构造文件名,可以读取服务端安装目录所在分区的任意文件。最古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏;
java中的src是什么意思?
m0_67391518的博客
04-03 5757
src,即source。该文件夹下存放的是项目的源文件(.java后缀与配置文件)。
SRC是一种管理系统
风信子的专栏
05-03 2859
什么是SRC SRC是一种管理系统,它涵盖了安全风险分析和管理的全过程。这一过程被称作安全风险遏制,它为获得更好的安全风险管理提供了总体框架的保障。所有的资产都具有风险,风险可由一系列因素导致,如事件、安全漏洞及威胁等。一个组织需要不断地对这些因素进行评估,以便把风险降低到一个可以接受的水平。SRC为此提供了一个总体解决方案,它包含了风险分析、风险管理和项目跟踪。 SRC的特性 “风险分析”是多用
Linux小白快速入门:Redis 2.6.14在CentOS 6.4安装教程
Redis的启动脚本(redis_init_script)位于`/usr/local/src/redis/utils/`,为了将其作为系统服务,需要将其复制到`/etc/rc.d/init.d/`目录,并重命名为`redis`。但是,由于Redis服务不支持chkconfig,这意味着不能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值