网络安全之POC编写流程

最新推荐文章于 2024-01-25 14:58:57 发布
最新推荐文章于 2024-01-25 14:58:57 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: python web安全 文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37119462/article/details/118059624
版权

针对一个已经公开的漏洞,POC的编写流程是这样的:

  1. 根据漏洞的详情,寻找指定受影响的版本程序
    可以去官网下载历史版本程序 有些漏洞作者不会提具体版本号,那你就要根据漏洞作者提交的时间来判断了。当然除了官方网站之外,还可以去 github 上寻找源码,这些个官网都喜欢把历史版本的程序删除掉,善用 github 上的 tag, branch, release
    功能,上面有你要的所有版本。
  2. 搭建对应漏洞的靶场环境
    根据漏洞详情,手动将整个流程走一遍,熟悉下复现条件,比如使用 GET 还是 POST 请求,需不需要登陆,返回的页面会是什么样子的,我提交不同的参数,会不会出现其它结果,如果漏洞不存在的话,会出现什么样的结果…
    磨刀不误砍柴功,熟悉了这些之后,后面编码实现简直就是分分钟的事,因为一开始我们就说过了,PoC 就是一小段代码。
  3. 写代码
  4. 测试POC的实效性
    其它测试和编码基本都是在同时进行的,为什么要单独提出来讲呢,我们在写 PoC 的时候,除了在存在漏洞的靶机上测试我们的代码,还要在不存在漏洞的站点测试,一般为说,一个优秀的 PoC 在后期测试的时候要求对 10000 个目标测试,误报不能超过 10 个。
香菇酱沙拉
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
11.7节用到的程序和POC代码.zip
10-22
《0day安全:软件漏洞分析技术》11.7节用到的程序和POC代码。
网络安全中的POC、EXP、Payload、ShellCode_网络安全payload是什么意思
ZL_1618的博客
12-19 672
POC:概念证明,即概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day、exploit的别名。EXP:利用(英语:Exploit,简称EXP)一般指可利用系统漏洞进行攻击的动作程序。Payload:中文 ’ 有效载荷 ',指成功exploit之后,攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。
什么叫PoC?应该怎么样写PoC
最新发布
xxiangaa的博客
01-25 544
如何写PoC
计算机漏洞安全相关的概念POC 、EXP 、VUL 、CVE 、0DAY
顺其自然~专栏
10-30 441
如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。在计算机领域中,零日漏洞或零时差漏洞(英语:Zero-dayexploit)通常是指还没有补丁的安全漏洞,而零日攻击或零时差攻击(英语:Zero-dayattack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
信息安全中常用术语介绍
dzqxwzoe的博客
02-14 519
VUL,Vulnerability 的缩写,泛指漏洞。0day 漏洞,又称零日漏洞 「zero-day」。是已经被发现 (有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。零日攻击或零时差攻击「zero-dayattack」则是指利用这种漏洞进行的攻击,提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。
盘点那些漏洞 POC 测试工具
wuli1024的博客
11-11 963
以上工具覆盖仅仅个人总结,还有其他专注 POC 检测的工具,比如知道创宇的 pocsuite3,只随软件携带来十几个案例 POC,目前我使用最多的就是 xray、xpoc、nuclei 这些工具,最近开始用 afrog,大家有好用的工具欢迎留言讨论,一起学习探讨。文库目录:https://wiki.xazlsec.com/static/forder.html。
poc测试全流程
weixin_71921932的博客
10-31 4624
如何进行poc测试?poc测试全流程poc测试的作用
学习网安需要了解的一些基础知识
fencecat的博客
02-26 2867
很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
数据中台POC演示流程
数通畅联
03-02 4819
数据中台POC是基于公司MDM、ESB和DAP三款核心产品搭建的集成环境,在对整个环境进行演示时需要从业务角度出发。本文针对整个环境演示的方式、流程和注意事项进行总结。
网络安全中的POC、EXP、Payload、ShellCode
日拱一卒,功不唐捐
09-18 8464
POC:概念证明,即概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day、exploit的别名。EXP:利用(英语:Exploit,简称EXP)一般指可利用系统漏洞进行攻击的动作程序。Payload:中文 ’ 有效载荷 ',指成功exploit之后,攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。
POC编写指南.pdf
08-17
针对当下主流的漏洞来分析漏洞,可以在很多POC提交网站上练手
POC编写指南
03-27
转载自Medici.Yan,以真实案例为背景,针对当下主流的漏洞来分析漏洞,并且一步一步编写对应的 PoC
#资源分享达人# POC编写指南.zip
08-03
#资源分享达人# PoC编写学习思路
poc编写真实案例文档
07-21
poc编写真实案例文档
POC&EXP编写指南.rar
02-11
POC&EXP编写指南 详细讲述了POC&EXP的编写方式,很实用
Python数据库操作之ORM框架
qq_37119462的博客
03-21 3305
前言 之前在github上下载开源项目,里面使用到SQLAlchemy框架,现在想研究一下具体实现 介绍 基本的操作数据库是Mysql官方的MySQL-connector驱动,来完成数据库的连接和使用,但当项目规模增加时,代码会越来越复杂。效率比较高的是基于ORM来操作Mysql。 ORM(Object Relation Mapping),中文意思是对象关系映射,是将底层的RDBMS封装成业务实体对象,提供给业务逻辑层使用。优点是: 定义好类和对象,不必关注底层的数据库的访问细节,只需注意业务逻辑层面即可
python相对路径、绝对路径、路径引用处理
qq_37119462的博客
07-12 1813
python中当前程序调用另一个程序,读取文件 当某一个程序,调用另一个程序,读取文件,相对路径报错,这是是因为 当前路径 是程序运行的路径,而不是所在的目录路径 所以要求对路径的层级结构进行处理 import os print(os.getcwd()) print(os.path.abspath(os.path.join(os.getcwd(), ".."))) print(os.path.abspath(os.path.join(os.getcwd(), "../.."))) F:\project\s
网络安全poc是什么意思
07-28
POC是指Proof of Concept(概念验证)的缩写,是指在软件开发或网络安全领域中,用于证明一个理念或原理的演示或实际实现。在网络安全领域中,POC通常是指一种攻击者或研究人员为了证明某个漏洞或安全问题的存在而开发的漏洞利用代码或实际攻击代码。POC可以帮助安全专家评估系统的安全性,并为开发者提供漏洞修复的依据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值