关于漏洞挖掘

最新推荐文章于 2024-04-24 22:49:55 发布
最新推荐文章于 2024-04-24 22:49:55 发布
阅读量1.8k 收藏 7
点赞数 2
分类专栏: My Blog 文章标签: 搜索引擎 网络安全 数据挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61427044/article/details/126688963
版权

漏洞挖掘

各平台提交规则

1. CNVD:有归属的一般都收,没有实质性危害的不收
2. 补天:百度权重或者移动权重大于等于才可以收录(满足两者一点就行)
3. 漏洞盒子:门槛比较低,一般有明确归属感就收,不看权重

漏洞类型

  • 暴力破解(弱口令)
  • SQL注入
  • 命令执行
  • XSS(跨站脚本)
  • CSRF(跨站伪造请求)
  • 文件上传漏洞
  • 文件包含漏洞
  • 逻辑漏洞
  • 信息泄露
  • 各cms的公开漏洞
  • OA系统漏洞

弱口令(略)

逻辑漏洞

  • 验证码爆破
  • 支付漏洞

    逻辑漏洞是由于代码逻辑不严格导致的(大厂也会存在许多)
    waf逐渐完善例如SQL注入,RCE等漏洞很难利用,而逻辑漏洞就不会

信息泄露

  • 源码泄露:git泄露,svn泄露

思路总结

  • 利用搜索引擎逐个测试(最基础的方法):使用FaFa或者Shodan等;在搜索引擎搜索 例如:title = "公司"等等
  • 关注一些漏洞库
    例如:白阁文库 —— https://wiki.bylibraty.cn 佩奇文库 —— http://www.peiqi.tech
  • 多复现,多关注
    多去复现一些CMS设备的历史漏洞
    关注最新的漏洞消息及时去了解
    现在很多新爆出的漏洞都会有文章去复现,可以去搜索引擎搜索设备去
    在挖掘的时候细心一点,多做信息搜集,没准可以在一个站点挖出多个漏洞

注意事项

  • 在做漏洞挖掘的时候,不要直接用大型扫描工具去扫
  • 如果遇到文件上传的地方不要直接传马
  • 如果你挖到涉及到敏感信息的漏洞,例如SQL注入,适可而止
  • 不要跟别人去说具体漏洞地址和细节
  • 在利用一些扫描工具的时候注意线程不要开太高

以上是我的 听课学习 和 笔记整理。欢迎各位借鉴学习并指出其中的不足。

辉小鱼~
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从零开始学习软件漏洞挖掘系列教程
08-30
这是有网络精灵出版的一个关于软件漏洞挖掘入门系列教程,更多资源请关注网络精灵博客
exploit:二进制漏洞挖掘技术摘要
04-25
exploit Summary of binary vulnerability mining techniques 该项目是关于挖掘二进制漏洞的一些技术和技巧,可以理解为它是一个教材,里面包含了一些常见漏洞的原理和攻击方式。 由于本人水平有限,不能避免可能会在文档中出现错误,敬请原谅。 注意: 该项目版权尽属于我个人所有,这包括项目中的文档和源码,你可以下载和查看,该项目涉及的所有文档和代码仅能用于学习交流目的,但不能以下用途否则必究: 1、相关项目和文档不能被发布到网上或其他地方 2、不能用于商业目的(如复制、摘抄、或者经过部分改变复制、摘抄或用来出书、发帖、发文章等。否则后果自负!!!),违者必究!!!
智能硬件漏洞挖掘与利用
07-08
2016中国互联网安全大会安全训练营,长亭科技做的关于智能硬件漏洞挖掘与利用讲义
关于Office_Word程序的漏洞发掘.pdf
08-07
本议题主要描述对Office Word应用的漏洞挖掘,从选取攻击面到发现一个新的0day,再到自动化漏洞挖掘方案的制作,以及较特殊的宏攻击方式和现在安全软件的检测情况,和VBA shellcode编写中的注意事项。本议题将会演示两个0day,第一个演示将分别在装有360/趋势/卡巴中演示,以及自动化漏洞挖掘方案的工具的演示。针对安全问题为微软、安全厂商和普通用户提出建议。
揭秘家用路由器0day漏洞挖掘技术
08-14
全球第一本关于家用路由器底层安全分析的书籍!系统剖析路由器硬件分析之道。技术要点与实践可延伸到智能物联、工控系统等新兴领域!吴石、余弦推荐!
对渗透新人的几点建议
m0_60571990的博客
11-28 2591
对渗透新人的几点建议
关于补天SRC小白入门详细介绍
晚风不及你
01-02 1万+
前言 只是单纯的介绍一下补天的界面以及规则与操作方式,不涉及任何与技术相关的东西,其目的是让新手快速了解补天,并在补天大展身手。如涉及到了任何侵权问题,请联系我删帖。 补天SRC介绍 补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。 ......
CNVD和CNNVD披露漏洞教程(个人申报)
Hardworking666的博客
01-09 2万+
文章目录CNVD披露流程获得证明的标准CNNVD披露流程披露案例 CNVD披露流程 1、在www.cnnvd.org.cn注册一个账号。 注册账号的链接为:www.cnvd.org.cn/user/regist ,注册时需阅读上报须知:www.cnvd.org.cn/sbxz。 2、登录链接为:www.cnvd.org.cn/user/login 3、成功登录后修改个人信息,如果工作单位为空,默认是个人。这会影响到漏洞证明上的信息。 4、如果要上报漏洞选择 漏洞上报->立即上报漏洞 会进入上..
快速获得CNVD证书
weixin_51725318的博客
05-26 2453
快速获得CNVD证书
CNVD证书获得及要求
热门推荐
qq_45414878的博客
05-22 3万+
CNVD证书获得及要求前言:CNVD证书简介要求挖掘思路定位目标搜索案例漏洞类型证书展示文件上传逻辑漏洞弱口令ps: 前言: 4月份利用闲时时间对学校资产进行了一波渗透测试,发现蛮多的漏洞,这其中就发现了这次证书的漏洞厂商,前不久证书也下来了,再加上有时间就对这次收获做一次总结。 CNVD证书 简介 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国
给网络安全渗透测试小白的一些建议
2302_76672693的博客
09-05 82
给网络安全渗透测试小白的一些建议
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
第一阶段--Day1--什么是网络安全?网络安全常用术语
最新发布
m0_58361380的博客
04-24 1245
网络空间安全包括了国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”。是由计算机硬件网络和通信设备计算机软件信息资源信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。
开始学习如何挖掘漏洞
m0_69801663的博客
10-31 332
漏洞所需要了解的平台
挖到过src吗?请描述一下过程
vivlol918的博客
08-30 127
SRC(安全漏洞奖励计划)是一种由企业或组织设立的计划,旨在鼓励独立的安全研究人员发现并报告其系统或应用程序中的漏洞
【愚公系列】2023年06月 网络安全高级班 083.CNVD原创漏洞证书(漏洞提交流程与通报示例)
时光隧道
06-02 9309
漏洞证书包括漏洞的标题、描述、漏洞的风险评估、影响范围、解决方案和参考等信息。对于收到的漏洞报告,CNVD会进行审核和评估,并根据漏洞的危害程度和影响范围,给出相应的处理建议。对于已经发布的漏洞证书,CNVD会在后续对漏洞修复的情况进行监控和跟踪,以确保相关漏洞得到及时、有效的解决。漏洞详情通常包括漏洞名称、漏洞类型(弱口令、未授权、信息泄露、命令执行…漏洞附件也是必填项,需要将漏洞名称、漏洞复现过程完整写入Word文档并提交。漏洞附件内容:单位或高校或厂商名称、漏洞描述、漏洞链接、复现过程、操作截图等。
个人报CNVD和CNNVD披露漏洞教程
m0_59598029的博客
09-12 2161
随着越来越多关注漏洞披露对于企业和应用所带来的影响,通过国内平台披露漏洞也越来越受到关注。不同平台上披露漏洞的流程有所不同,刚好借此机会进行总结。
补天漏洞响应平台基本介绍
记录并分享学习安全的知识点..
05-30 9026
警告 一、基本介绍 (一)专属SRC (二)企业SRC (三)公益SRC 二、漏洞提交流程和厂商奖励 (一)漏洞提交流程 (二)厂商奖励——漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励。 三、 Web漏洞收录标准 (一)漏洞定义 (二)漏洞类型 (三)漏洞等级 (四)补天不收的漏洞 警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 白帽子行为规范:https://www.butian.net/Article/content/id/5 补天平台规范化提交...
你不得不知道的CNVD知识
2401_82738161的博客
01-31 1312
一文带你了解CNVD
cnvd漏洞挖掘教程
02-29
很抱歉,我不能提供关于漏洞挖掘的教程或指导。漏洞挖掘是一项高级技术,需要深入的计算机安全知识和经验。同时,漏洞挖掘也是一个敏感的话题,需要遵守法律和道德规范。 如果您对计算机安全感兴趣,我建议您从基础开始学习,了解网络安全、系统安全、应用程序安全等方面的知识。您可以参考一些权威的安全学习资源,如OWASP(开放式Web应用程序安全项目)、CVE(通用漏洞和暴露)数据库等。 另外,参加相关的安全培训课程或者加入安全社区也是一个不错的选择,这样您可以与其他安全专业人士交流和学习。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值