渗透测试之漏洞挖掘指南(一)

已于 2023-09-17 21:26:45 修改
阅读量136 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: 安全
于 2023-09-17 20:12:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoli8748/article/details/132951697
版权

1.漏洞挖掘中什么漏洞最多?

新手想快速挖掘到漏洞,要专注在业务逻辑前端漏洞

--  业务逻辑 (弱密码,等等)

--  前端漏洞  (xss, csrf , cors, jsonp...)

2. 常见漏洞提交平台

注册应急响应中心的话,需要实名制的,就不会触犯法律:

不推荐使用扫描器的:支付宝必须要先登录账户,扫描效果没有的。

3.常见漏洞提交平台

hackone  是国外漏洞挖掘平台,收益比较高。提交时候,用英文报告,接收美元的银行账户。

4.漏洞攻略  -  利用好搜索引擎

了解本专栏 订阅专栏 解锁全文 超级会员免费看
xiaoli8748_软件开发
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
渗透测试员完整职业指南
wulanlin的博客
01-06 2879
渗透测试人员是所谓的“道德黑客”。网络系统所有者和基于 Web 的应用程序提供商雇用渗透测试员,也称为保证验证员,以探测具有恶意意图的黑客可能能够利用以收集安全数据和情报的漏洞。 道德黑客通过运用他们的技能和知识来执行漏洞评估(以及其他任务)——并且实际上获得报酬以执行相当于数字入侵的行为。 他们使用广泛的工具和方法模拟实际的网络攻击,其中一些是他们自己创造的,不遗余力地掘网络、系统和基于 Web 的应用程序的安全协议中的漏洞渗透测试或简称渗透测试的想法是探索渗透任何给定计算机系统的所有可能.
Hack-nos-1的一次靶场实战练习
m0_58153689的博客
08-26 193
靶机 靶场
我的HackerOne漏洞赏金平台漏洞挖掘流程
Ba1_Ma0的博客
04-25 7510
高强度在国外的hackerone平台了一周的漏洞,在这里分享一下经验
子域名劫持(Subdomain Takeover)
Fly_鹏程万里
09-23 1759
 前言 在搜资料的时候偶然发现了这么一种子域名劫持(Subdomain Takeover)漏洞,平时没遇到过,感觉很有趣,可以利用劫持玩出很多花样,同样,HackOne上也有很多例子: https://hackerone.com/reports/172137 https://hackerone.com/reports/32825 https://hackerone.com/reports/...
在hackerone反射xss,最重要的就是要会接化发
weixin_50464560的博客
03-13 697
反射xss,最重要的就是要会接化发,不会接化发,你就不能说自己会反射xss。接,就是要看html请求包:回包看, 这就化出来了。然后就是发,发就是把荷载发出去。先轻轻地注入” 符号,很好啊,没转义,没过滤。我反手就是松果弹抖闪电鞭。一鞭,style=xxxxxx"-alert(1)-"它挡住了,有waf。5鞭我就过去了啊。然后我就提交啊,这就250刀到手了啊“”然后换一个地方,挪一下窝啊,因为一个路径只接受一个xss,还是接化发。接, liso_rtar;化, liso, rtar;很好啊,两个参数都行
漏洞挖掘|密码找回中的套路
hackzkaq的博客
02-16 324
零基础学黑客,搜索公众号:白帽子左一 作者:先知社区- 爱吃猫的闲鱼 原文地址:https://xz.aliyun.com/t/7977 前言 首先这不是一篇总结性的帖子,毕竟对于密码找回的测试方法网络上有比较全面的总结 比如用户凭证暴力破解,系统返回了重要的凭证,邮箱手机弱token,token通用,session覆盖,用户凭证有效期问题,凭证算法被破解,前端校验等等一系列漏洞。 在这里附上前辈总结的脑图,总结的也是比较详细了。 在日常的授权测试以及论坛瞎逛中,发现了一些对于个人而言比较有意思的找
SRC混子的漏洞挖掘之道
Karka_的博客
03-19 455
SRC需要有一个好心态,国内SRC生态并不是很好,SRC感觉更多的提供了一个相对安全的测试保障,所以更需要抱着一种学习的心态去,将我们学习的到的知识灵活运用,发现新的问题。不要想我今晚一定要到多少漏洞,要拿到多少奖金,不然可能会被忽略三连打崩心态。
[经验分享]SRC漏洞挖掘之道
MachineGunJoe666
09-12 472
SRC 需要有一个好心态,国内 SRC 生态并不是很好,SRC 感觉更多的提供了一个相对安全的测试保障,所以更需要抱着一种学习的心态去,将我们学习的到的知识灵活运用,发现新的问题。不要想我今晚一定要到多少漏洞,要拿到多少奖金,不然可能会被忽略三连打崩心态。
如何入门渗透测试
热门推荐
qq_28205153的博客
04-03 4万+
转眼间,从大三开始学安全,到现在也有五年了,也算是对渗透测试有一定理解,公众号准备出一些入门教程,以实操为主,希望可以帮助到想入门渗透测试的小白。如果觉得有用,可以在文章后面支持一下我,作为我写下去的动力。 1. 什么是渗透测试 渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。 一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。 一定要注意的是,在.
渗透测试指南之七个阶段
11-11
渗透测试指南是根据PETS翻译整理的一份资料,供学习渗透测试的朋友更系统的学习了解渗透测试七个阶段工作。七个阶段涵盖内容分别为前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透...
渗透测试漏洞获取CNVD证书的经验分享
08-21
渗透测试漏洞获取CNVD证书的经验分享
登录安全分析报告:小米官网注册
Explinks的博客
05-29 1324
图形验证及交互验证方式的安全性到底如何?请看具体分析。
nginx 安全配置
fangxiang2008的博客
05-28 1108
nginx 安全配置
Dynamics 365:安全的客户参与应用程序
全网:架构师研究会
05-29 899
客户参与应用程序使用Microsoft Dataverse提供了一个丰富的安全模型,可以适应许多业务场景。本节为您提供了应考虑的安全措施的特定于产品的指导。Dataverse安全模型有以下目标:只允许用户访问他们工作所需的信息。按角色对用户进行分组,并根据这些角色限制访问权限。支持数据共享,以便用户和团队可以访问他们不拥有的记录以进行特定的协作。阻止用户访问他们不拥有或共享的记录。了解有关Mic...
车联网安全入门——CAN总线逆向(ICSim)
最新发布
weixin_66578482的博客
06-04 573
🚀🚀ICSim是一个用于模拟车辆仪表集群的工具,专门为 SocketCAN 设计。SocketCAN 是 Linux 内核中的一个模块,用于支持控制器局域网(CAN)接口。!!cansniffer,SavvyCAN
德人合科技——天锐绿盾内网安全管理软件 | -文档透明加密模块
m0_74448820的博客
05-30 848
重要的文档从生成即强制加密,强力守护信息资产。在授权环境中,文档能自动解密,不影响用户原有使用习惯;在非授权环境中,加密文档则无法正常打开和使用,严防文档泄露。在加密文档的使用过程中, 能够防止用户通过剪贴板、截屏、打印(虚拟打印)等方式窃取加密文档内容。
电脑记事软件哪款安全?好用且安全的桌面记事工具
2401_83063993的博客
05-28 642
它采用了HTTPS、SASL、Secret Key等多重安全认证,确保我的数据在传输和存储过程中都得到了严格的保护。它允许我将重要的内容独立显示在软件之外,这样我就不用再软件中翻找,从而快速查看关键信息。然而,在享受电脑记事便捷性的同时,我也曾担忧过数据的安全性。毕竟,这些记录中包含了大量的工作信息和私人想法,一旦泄露,后果不堪设想。更重要的是,敬业签支持记录多种类型的内容,包括文字、图片、视频和文件,这极大地丰富了我的记事方式。总之,敬业签不仅提供了便捷、多样的记事功能,还在数据安全方面做得非常出色。
【竞赛】本科阶段部分证书考试 & 科研竞赛 的 网站导航(算法、项目、安全、数据、科研)
小哈里的博客
05-28 1193
【竞赛】本科阶段部分证书考试 & 科研竞赛 的 网站导航(算法、项目、安全、数据、科研) 文章目录 1、算法竞赛(重点) PAT/CSP 天梯赛/蓝桥/力扣 ICPC 算法竞赛 编程工具 代码源 其他 2、项目竞赛 安全与数据(重点) 项目竞赛官网 & 学习资料(独立) 网络安全 & CTF导航(独立) 项目+1(独立) 科研成果(独立) 3、其他补充 党团相关 不挂科 证书考试 零零碎碎 更多
网络安全渗透测试漏洞挖掘上如何进一步取得专精?
04-12
渗透测试漏洞挖掘方面,需要不断地学习和掌握新的技术和工具,不断提高自己的专业能力。例如,可以学习如何使用各种渗透测试工具和漏洞挖掘工具,掌握不同类型的漏洞和攻击方式,建立良好的安全意识和实战经验。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoli8748_软件开发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值