关于漏洞申请的一些想法

最新推荐文章于 2024-08-29 18:44:48 发布
最新推荐文章于 2024-08-29 18:44:48 发布
阅读量121 收藏
点赞数
文章标签: java 软件测试 xss html 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48505549/article/details/122356665
版权

首先我并没有学术追求,所以漏洞的想法是有就行,并没有什么大的志向,主要就是交差。我目前大致分为两个方向:简单的web漏洞和模糊测试二进制漏洞。

一、web漏洞

没什么经验,但是web找洞还是比二进制高效一点的。

二、模糊测试

关于模糊测试写过一个系列的随笔【AFL学习随笔】,如果感兴趣可以去看看,当然是入门级别的。

关于测试之后获得崩溃crash怎么处理,可以看我在看雪写的经验贴【完整fuzz流程】。

三、漏洞上传

1⃣️src平台提交

这类主要是web的,https://www.cnblogs.com/wayne-tao/p/11216964.html;

2⃣️在cnvd提交

按照要求在官网提交即可,好的漏洞会有证书,同样不好的也会拒绝;

3⃣️cve,可以参考这个帖子:

我也是按照这个帖子,提交成功了:https://www.freebuf.com/news/168362.html

成功会收到邮件

2022年新年第一篇文章,快毕业了,以后写的可能是另外的主题了。

未佩妥剑,已入江湖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
漏洞挖掘】——53、 WebSocket安全概览
Fly_鹏程万里
06-07 267
在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTP History选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTP Proxy右侧的"WebSockets History"选项卡中,从界面的交互历史中发现网站有使用WebSocket进行通信,虽然之前有对Websocket有一些简单的了解(比如:跨越问题),但是未对此进行深入研究,这让我产生了需要深入研究一下的想法
初识SRC漏洞平台提交漏洞
热门推荐
OKAY_TC的博客
03-08 5万+
1.1 漏洞平台 补天漏洞响应平台:https://butian.360.cn/ 漏洞银行:https://www.bugbank.cn/ 阿里云漏洞响应平台:https://security.alibaba.com/ i春秋SRC部落:https://www.ichunqiu.com/src 腾讯应急响应中心:https://security.tencent.com/index.php...
java 序列化漏洞怎么解决?
半夏_2021的博客
05-05 1389
java 序列化漏洞怎么解决?
一些OEM的厂商的漏洞分析
创造晴天
12-02 2199
现在给予Android平台 生态系统玩的终端厂商越来越大,暴漏的漏洞也越来越多了。 转帖请帖http://blog.csdn.net/u011069813/article/details/9209221 公司越大,漏洞越多,原因也是定制的更多了。尤其是三星哈! http://www.quarkslab.com/dl/Android-OEM-applications-insecurity-an
str045漏洞提权linux,SUDO漏洞提权实战(CVE-2021-3156 POC)
weixin_30014265的博客
05-16 391
原标题:SUDO漏洞提权实战(CVE-2021-3156 POC)SUDO漏洞提权实战(CVE-2021-3156 POC) 引言最近刷公众号看到了一个sudo的漏洞,看漏洞介绍是个堆缓冲区溢出的漏洞,出于手痒想跟进一下这个漏洞。经过一番折腾,发现这个漏洞还挺典型的,于是总结了一些想法。接下来我会在漏洞分析、提权原理、利用方案、实战分析等方面表达一些自己的观点。漏洞分析这几天网上对这个漏洞分析已经...
Windows ALPC漏洞复现
skyh的博客
06-10 2310
ALPC 漏洞复现
实锤了!Chrome存在严重漏洞
qq_29462849的博客
06-19 387
点击上方“3DCVer”,选择“星标”干货第一时间送达近日,Google面向二十亿Chrome浏览器用户推出至关重要的补丁程序,并再次强调大家需要立即更新其浏览器。如果你在Mac,Wind...
漏洞原理CVE-2019-0808内核利用分析
anquanniu的博客
05-21 2734
漏洞概述 CVE-2019-0808是微软在2019年3月修补的内核漏洞,该漏洞只影响Windows 7和Windows Server 2008,漏洞允许攻击者提升权限并在内核模式下执行任意代码。在谷歌威胁分析团队的报告中发现该漏洞用于进行Chrome沙箱逃逸,和CVE-2019-5786 Chrome 远程代码执行漏洞配合使用。 补丁分析 通过对Win7上3月份的补丁进行对比可以知道问题出现在x...
CVE-2021-24078漏洞分析
qq_36386435的博客
12-17 3581
CVE-2021-24078漏洞分析 漏洞复现证明截图 影响范围 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-bas
关于探讨对AI人工智能的看法和认知
m0_71383067的博客
05-18 997
随着AI技术不断发展,AI作画的自主性和创造性将不断提高,对于一些简单的创作需求,可能已经不需要提示词语来影响AI工具了。首先,AI是一个非常广泛的领域,涉及到许多不同的技术和应用,目前我们已经能够看到AI在语音识别、图像识别、自然语言处理、智能推荐等方面展现出了令人瞩目的表现。AI技术的快速发展给我们带来了很多便利和机会,但同时也带来了一些问题,例如如何平衡AI技术和人类就业、如何保证AI技术的安全和隐私等等。总之,AI对编程领域的影响是复杂的,它可能会带来新的机遇和挑战,但人类的作用仍然是不可替代的。
网站漏洞渗透测试复检项目分析结果
网站安全资讯
09-26 577
最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,...
网站漏洞渗透测试项目复检分析
网站安全资讯
09-26 641
最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,...
Android漏洞检测与分析初探
zheshanye的博客
08-25 2680
近两天对Android漏洞检测的基础知识进行了初步了解,现总结如下: 程序正确性证明 对于程序的正确性证明,有公理证明、静态分析、动态分析、符号执行等方法。从公理角度证明程序的正确性就是想通过某种公理系统对程序进行描述,判断程序能否转移到正确状态或满足某种安全性质。而对于静态分析或动态分析方法则是从检测程序的执行路径角度对程序的正确性进行检验。静态分析方法由于执行方便,覆盖面广,可以广泛地检验...
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 3329
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 3306
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 3664
linux上datax 安装以及使用
《深入理解 Java 中的适配器模式》
最新发布
面团到油条的成长日记
08-29 1805
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
操作系统原子操作
zzt_is_me的博客
08-28 1950
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
关于Tomcat漏洞攻击
05-15
以下是一些可能导致Tomcat漏洞攻击的原因: 1.弱密码:如果您使用的是弱密码,攻击者可能会轻松地通过暴力破解攻击您的Tomcat服务器。 2.未打补丁的漏洞:Tomcat的早期版本可能存在漏洞,如果您未及时打补丁,攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未佩妥剑,已入江湖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值