网络安全小白众测如何快速发现安全问题思路

最新推荐文章于 2025-05-28 16:50:43 发布
最新推荐文章于 2025-05-28 16:50:43 发布
阅读量964 收藏 2
点赞数
文章标签: 安全 web安全 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjwangan/article/details/127515769
版权
本文介绍了在网络安全众测项目中如何快速发现安全问题,涉及业务体系如电商、政府、金融、教育、传媒系统,以及找回密码、购物、支付等模块的测试流程和要点。通过前端测试、登录验证、验证码机制、越权测试等方面进行深入测试,并通过实际漏洞案例分析加强理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在众测项目的时候,发现问题的速度对应这赚钱的速度,这里简单罗列一些众测项目比较容易解决也比较容易发现的问题

目录

业务体系

首先参与一个众测项目,第一步就是知道这个项目是什么系统,有哪些项目模块,这样才能快速找到自己擅长的模块去进行测试
一般来说是五种业务功能,分别是电商、政府、金融、教育、传媒

电商系统

登录-注册-找回密码-购物-个人中心-订单-公众号-APP

政府系统

端口-子系统-找回密码-个人中心-公众号-APP

金融系统

登录-注册-个人中心-交易-订单-公众号-APP

教育系统

端口-子系统-登录-客户端-公众号

传媒系统

登录-注册-找回密码-个人中心-子系统-端口-公众号-APP

对应模块

找回密码

本地验证
爆破
绕过业务流程

购物

无货是否购买

支付

并发情况
修改价格
修改数量

订单

修改价格(加/减)
商品数量
使用次数

用户中心

个人资料
绑定手机
绑定邮箱
修改密码
修改头像
个性签名

修改头像

绕过本地

最低0.47元/天 解锁文章
蚁景网安
关注
渗透试入门—— 常见术语概述
weixin_46694260的博客
12-26 9547
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
CSDN前1000名博主
热门推荐
无知人生,记录点滴
05-26 8万+
博主 简介 stpeace 排名:1 原创:2166 粉丝:7180 积分:181660 等级:10stpeace的专栏中国本博客供大家交流,欢迎各抒己见。博文中的内容禁止用 yuanmeng001 排名:2 原创:5286 粉丝:10660 积分:170616 等级:10袁萌专栏无穷小微积分倡导者–北大教授null老师 yjclsx 排名:3 原创:162...
网络安全试方案.pdf
07-09
第1章 内网安全试 1.1 基础安全 端口隔离 MAC 安全 IP 绑定 ARP 绑定 1.2 身份认证 AAA 802.1x PPPOE Potal、CTP、认证代理 1.3 内网准入控制(盈高解决方案) Pc 状态检() 主机外设控制 第2章 安全设备试方案—防火墙、AC、安全网关、IPS、UTM 2.1 功能试 基本功能试 默认安全规则功能验证 试目的 试设备是否支持基本功能 试条件 1、设备上电启动正常; 2、通过直连网线将设备 LAN 口与 PC 相连。 试过程 1、设备开启防火墙功能; 2、查看从内向外的 ping、web 或 telnet、DNS 业务是否正常。 3、查看从外向内的 ping、web 或 telnet、DNS 业务是否正常。 预期结果 1、 步骤 2 中,ping、telnet、web 业务均正常; 2、 步骤 3 中,ping、telnet、web 业务均不正常; 其它说明和注意事项 本试任务试防火墙对ICMP TCP udp等处理行为 试结果 TCP状态检功能试目的 试TCP状态检功能 试条件 1、按照网络拓扑进
网络安全领域的创新:模式
Phoebe201415的博客
05-30 332
2014年5月,出现了三个安全服务平台:乌云、Sobug、Freebuf漏洞盒子。 服务模式基本一致:厂商发布安全试项目,挑选白帽子进行试,按照发现的漏洞其风险等级付费。 这种模式解决了2个问题:1.授权问题:白帽子可以在客户的授权下进行试,没有法律风险,白帽子对试结果保密;2.白帽子收入问题:让白帽子有尊严的赚钱,不再像之前挖出漏洞寻求厂商奖励或勒索厂商(涉嫌违法)...
你知道安全么?快来看看吧。
fansenliangren的博客
11-03 621
刚进入安全圈的朋友对于安全的交互关系是不是有点蒙圈呢?小编在这里为大家用大白话介绍一下到底什么是安全
SRC挖洞之支付逻辑漏洞的奇淫技巧
道阻且长,行则将至
05-29 7888
文章目录前言巧用支付页面低价签约漏洞低价会员升级循环利用优惠券并发请求试并发领取奖品并发多次签到并发转账提现其他支付漏洞异常支付金额金额数量溢出更多逻辑漏洞总结 前言 最近闲余时间开始在 SRC 应急响应平台和 补天、火线、漏洞盒子 等第三方漏洞平台挖掘漏洞赚点外快,一开始还算运气好尝到了一点小甜头: 但是面对 SRC 这类可能被几百名白帽子同时挖掘过的系统,想要持续挖掘到遗漏的漏洞难面显得十分吃力、甚至说黔驴技穷了…… 但是发现正是这种“手足无措”的处境,才会让自己去加深一些曾经自认为“熟悉”的漏洞的
新手小白入门SRC漏洞挖掘经验分享,网络安全零基础挖漏洞教程分享!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
01-08 733
漏洞挖掘方法非常多样,发现漏洞可能是扫描器直接出的漏洞,也有可能是一个不起眼的信息泄露引起的高危漏洞(如swagger UI页面,可以导致调试API接口引发更大的安全漏洞),但是总结两个点:一、在漏洞挖掘过程中细心查看每一个功能点以及数据包逻辑才是王道。二、学会利用自动化工具,最后信息收集才是最重要的老铁。===
2024网络安全岗面试题汇总(附答案)
2401_88326437的博客
01-14 978
公司分甲方跟乙方,同时还分大公司和小公司。做过管理的应该知道,团队管理大公司靠管理,小公司靠感情。大部分人,很多时候不是你选公司,而是公司选你,所以这里也不多bb了。现在的安全岗位,我们往往也会经历面试拧螺丝,工作造飞机的尴尬局面。所以从技术面试来说,面试的问题需要多角度,多方面来考察我们的应聘者。当然那些招驻场,随便问问的面试,当我没说。最重要的一点就是,人品,很重要。
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇你就是网络安全高手了。
白帽黑客八哥的博客
08-02 697
网络安全学习路线(1)基础部分基础部分需要学习以下内容:我看的书籍其实书籍是非常系统的,也比较适合入门初学者,这些书可以让我掌握这个领域的基本内容,当然了时效性可能不会很高。我建议选择看哪个方面的书,不要人云亦云,肯定很多人让你学操作系统原理,学算法等等,这其实是不符合学习规律的,学什么就找对应的书籍学习。下面是我当时读的的几本书籍。(1.1)计算机及系统原理《编码:隐匿在计算机软硬件背后的语言》 【美】Charles Petzold·
网络安全学生的红队路线学习推荐
2401_84215240的博客
03-05 801
关于WEB渗透方面的学习,国内的养成体系并不成熟,多数以CTF的接触为起点,但其有一定局限性并不适用网安的长期学习路径,国内的培训机构虽层出不穷,但其中也良莠不齐,很多学习者没有足够的预算容错。因此,我特此分享个人有体系的学习路线推荐(仅主观推荐(叠甲))。文字内容较多,但也许可以帮助很多在学习WEB方面知识有些迷茫的师傅们,融入了个人在道路中遇到的一些总结。第一阶段初期的学习对于大多数没有基础的人来说CTF是个不错的赛制,将知识点进行娱乐化的设置为靶场让我们进行练习,一定程度上实现了寓教于乐。
网络安全类学习资源
天涯学馆
11-20 1万+
目录分类 媒体社区类 安全公司类 应急响应类 安全团队类 高校社团类 CTF类 个人类 web安全类 网络运维类 安全研发类 二进制安全类 硬件安全类 其他 媒体社区类 媒体、资讯、社区 网络安全和信息化 :- 《网络安全和信息化》(原《网络运维与管理》)杂志官方所属,IT运维管理人员的专业管理类经验、知识、资料。提高IT基础设施运营水平,提高IT管理人员工作能力。 i春秋 :- 专业的网络安全、信息安全、白帽子技术的培训平台及学习社区,78万安全用户的精准推荐。 合天智汇 :- 为广大信息安.
2024年网安最全网络安全真的那么好吗?
2401_84281720的博客
05-01 1001
了解网络安全,首先要搞清楚下面这些前提这些问题,会贯穿你学习网络安全的始终,建议从入门学习开始就做好规划。国际国内网络环境的迅速变化催生了一系列安全政策,使得网络安全产业从小产业逐步发展成为国家战略性新兴产业,与人工智能、大数据、云计算等领域并驾齐驱。网络安全对于大部分政企单位来说,已经从[可选项]变成了[必选项]甚至是[强制项]。安全团队再也不是大厂或者互联网公司专有,只要是“触网”的企业,都需要安全人才加入。
软件试行业女生真的没有一席之地了吗,还能入行软件试吗?
jj2772367224的博客
11-29 5586
可以,但并不容易。 要比男生面临更多的挑战和付出更多的努力。 首先我强烈反对女生更适合做试的这种论调: ●女生更为心细,更有耐心,能够更好的找出bug;,试不用写代码,女生学更容易上手; ●试强度低,不用加班,对女生更友好,越老越吃香。 如果还对试行业抱有这种看法,那说明还没有把试当做一个技术类的工作。 先说一下结论:沟通能力很重要,会门语言是最基本的技能,万不要幻想不加班。 所以,女生所面临的挑战,相比于男生来说,只多不少。 如果你是女生,想要衡量自己是否适合进入这个行业,首先要搞明白下面3点:
接口试是什么?如何做好接口试?
测试小小的博客
11-17 1919
文章目录 1.什么是接口? 2.接口都有哪些类型? 3.什么是接口试? 4.为什么要做接口试? 5.怎样做接口试? 6.接口试点是什么? 7.接口试都要掌握哪些知识? 8.其他相关知识? 1.什么是接口? 形象来讲:我们天天用的手机,需要充电,那么我们需要给给手机插上充电器, 如果充电器的接口型号对不上,那么就不能进行充电, 我们调用接口也是一样,必须要根据接口设计文档来,不能自己随心所欲去调用。 从另一个角度说,接口就是外部系统与系统之间以及内部各个子系统之间的交互点,定
“智”造巨轮启新程:数字安全的战略布局
Scgute88的博客
05-23 916
在数字化转型的浪潮中,某大型智能家电企业通过与天空卫士的合作,构建了一套全面的数据安全防护体系。该体系包括统一内容管理平台、邮件防泄露系统、网络防泄露系统和应用防泄露系统,确保数据在传输、存储和处理的每个环节都得到有效保护。这一智能化的安全解决方案不仅提升了企业的数据安全水平,还增强了员工的安全意识,为业务创新提供了坚实保障。企业的成功实践表明,数据安全是数字化转型的重要助推器,持续的安全投入和创新是企业在数字化时代稳健前行的关键。
安全生产例题
liangjiao_shou的博客
05-27 902
安全生产例题
构建安全与合规的Jenkins环境:全周期审计方案详解
TechEnthusiast的博客
05-24 874
Jenkins作为最流行的CI/CD工具之一,承载着企业核心的自动化构建与交付流程。然而,随着其复杂性的增加,安全漏洞、权限滥用和合规风险也随之而来。本文将提供一套从日志记录到应急响应的完整审计方案,帮助企业实现合规、可控的持续交付。Jenkins审计并非一次性项目,而是需要持续监控、迭代的安全实践。通过本文的方案,企业不仅能满足SOC2、ISO27001等合规要求,更能构建主动防御体系,将安全融入DevOps的每一个环节。记住:安全团队的终极目标不是阻止每一次攻击,而是让攻击者“得不偿失”。
2025年渗透试面试题总结-匿名[社招]安全工程师(红队方向)2(题目+回答)
soc的博客
05-23 1365
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
联软SDP+安渡:收敛暴露面 从生产网自动取数 安全高效
最新发布
leagsoft_1003的博客
05-28 579
制造业网络安全面临网络隔离与数据流通的矛盾。为解决供应商跨网协作中的安全风险和管理痛点,联软推出安渡SDP解决方案:通过专用加密隧道实现安全访问,采用IP协议栈隔离、数据指令分离等创新技术,在不开放网络端口的情况下完成自动化数据摆渡。该方案既保障了文件传输的安全性,又提高了办公效率,实现了网络安全防护与业务便捷性的统一。典型应用于BOM系统审批后的图纸自动传输场景,有效规避U盘拷贝、即时通讯等传统方式的安全隐患。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值