实战挖掘一个某公司网站漏洞

最新推荐文章于 2024-05-11 00:23:08 发布
最新推荐文章于 2024-05-11 00:23:08 发布
阅读量3.2k 收藏 25
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25725865/article/details/103643357
版权

作为一个资深安全菜鸟,主要是讲解常规挖洞的一个流程和思路,以找到的一个某公司sql注入为例,大佬轻喷
网上很多资料及博客都有讲解,通过搜索引擎寻找网站漏洞,实际上整个挖洞的过程基本上是撞大运,掏出谷歌,搜索inurl:php?id=,实际上搜索的都是php网站,然后一个个测试。。。作为一个菜鸡也只能这样了
在这里插入图片描述
往后面找,一个个测试
在这里插入图片描述
这个一看就可能存在sql诸如,开始测试,单引号,and1=1,and 1=2一顿操作,
and1=1页面正常

最低0.47元/天 解锁文章
安全我只会360
关注
  • 5
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
该如何开始挖掘web漏洞
2301_77147728的博客
04-21 453
渗透是一个庞大知识体系,难就难在没有方向,不知如何学习,到了某个地步停滞不前了,这边写下我个人看法web安全知识学习(理论期)web基础/渗透环境搭建/常用工具。
挖洞教程之漏洞扫描
WINDY_PACE的博客
05-13 2723
联网工程任务组RFC4949[1]: 系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点。 中国国家标准 信息安全技术-网络安全漏洞标识与描述规范 GB/T 28458-2020[2]: 网络安全漏洞是网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。
快速找出网站中可能存在的XSS漏洞
hackzkaq的博客
05-19 2356
更多渗透技能 欢迎搜索公众号:白帽子左一 作者:汤青松 地址:https://zhuanlan.zhihu.com/p/42604854 一、背景 在本篇文章当中会一permeate生态测试系统为例,参考文档:利用PHP扩展Taint找出网站的潜在安全漏洞实践 二、漏洞简介 在实践漏洞之前,先简单介绍一下XSS漏洞,不过XSS的相关概念介绍并不是本文的重点,因此不会过多细讲; 如果原理都懂,可以直接跳过往下翻至第三节 XSS的漏洞类型主要分为三类:反射型、存储型、DOM型 2.1 漏洞成因 XSS的
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
2024年实战SRC漏洞挖掘全过程,流程详细【网络安全】,2024年最新小白看完都会了
最新发布
2301_77121488的博客
05-11 728
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
2023挖漏洞给报酬的网站汇总,兼职副业3天收益2k
weixin_59191169的博客
07-19 1518
2023挖漏洞给报酬的网站汇总,兼职副业3天收益2k
SRC漏洞挖掘经验+技巧篇
dzqxwzoe的博客
06-18 2966
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、
SRC漏洞挖掘实战经验总结
10-28
总结,SRC漏洞挖掘一个涉及广泛知识领域的实践性工作,涵盖了渗透测试技术、漏洞分类与挖掘、风险评估、漏洞管理等多个方面。通过深入学习和实践,我们可以更有效地保护系统安全,预防潜在的威胁。
实战注入漏洞检测网站.rar
05-08
4. 使用专门的漏洞检测网站:正如压缩包标题所示,这可能是一个专门用于实践和学习注入漏洞检测的在线平台。用户可以在这里输入测试用例,了解漏洞的触发条件和效果。 为了防范注入漏洞,开发人员应该遵循以下最佳...
PHP漏洞挖掘(九):PHP网站代码审计实战——课程资源百度网盘下载.txt
05-06
PHP漏洞挖掘(九):PHP网站代码审计实战——课程资源百度网盘下载,亲测真实有效可用!包含视频+课程资料.zip,在知识星球中也分享了该资源,知识星球:W小哥
基础漏洞csrf挖掘实战
10-07
这种攻击一般依赖于目标对象之前已经通过了具有漏洞网站的身份认证,并且攻击者向该网站发起的提交动作和网站的响应不被目标对象感知。当CSRF攻击成功时,我们就可以修改服务器端信息并很有可能完全接管用户的账号。...
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
"SRC漏洞挖掘经验和技巧分享" 本文档主要分享了SRC漏洞挖掘的经验和技巧,涵盖了SRC个人推荐、SRC的规则、漏洞挖掘中的个人经验和技巧分享等方面。 一、SRC个人推荐 SRC个人推荐排名不分先后,只为排版好看白帽子...
Web渗透测试之SRC挖掘经验分享
03-30
专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。把所有漏洞作为总结讲解,从理论到实战的分享,所有经验。结合漏洞挖掘的经验以及安全工作相关的经验总结漏洞原理、发现、利用,修复,姿势,防御,等多方面思路。实战方面结合以往挖掘SRC经验,把如何操作的各种方法和经验,以及挖过的漏洞,全部分享。具备web渗透测试工程师的工作水平; 能够挖掘各家SRC应急响应中心漏洞,凭借挖漏洞月收入过万
小白快速入门src挖掘(以edusrc平台为例)
2301_80127209的博客
10-20 386
我们可以在关于页面看到edusrc的收录规则现阶段,教育行业漏洞报告平台接收如下类别单位漏洞:教育部各省、自治区教育厅、直辖市教委、各级教育局学校教育相关软件可以看到不仅是大学的资产、还有小学初中高中的教育局的也可以交到上面、而资产不仅只有网站,也可以从小程序,app方面入手,不过这方面利用难度就要大一些。
网站漏洞挖掘思路
xnxqwzy的博客
10-12 620
未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,不需要输入密码,即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问,同时进行操作。
分享两款自己挖洞常用的工具
KD的疯狂实验室
11-01 7151
1 mona 2PatchDiff2
挖洞技巧
weixin_33860528的博客
08-30 790
1.1 补天不收的漏洞 ①反射XSS ②CSRF ③目录遍历 ④二进制(据补天审核说,他们没人看的懂,没法审,所以不收) 2、尝试常用漏洞 2.1 爆破 2.2 CMS通用漏洞 2.3 SQL注入漏洞 2.4 XSS漏洞 2.5 越权和逻辑漏洞 2.5.1越权 付费厂商多见于ID参数,比如typeID、OrderID等等,这里只是举例。更改ID,可以越权看...
web漏洞挖掘 实战
08-29
Web漏洞挖掘是一项重要的安全工作,可以帮助发现和修复Web应用程序中存在的潜在漏洞。以下是一些实战中常用的Web漏洞挖掘方法: 1. 信息收集:收集关于目标应用程序的信息,包括架构、技术栈、可用端点等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值