本文主要是介绍新手src怎么挖到第一个漏洞(主观意识极强,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
仅对于新手,而且有很强的主观看法(?这些话都是我很想对最开始的自己说的,可能有些东西还是不妥,以后厉害了再回来修改)
不用有畏难情绪,挖洞和学某些学科,打游戏没什么不同,先建立起自己的框架然后慢慢填充细节一定能挖到,很多人说的直觉修改哪里这些直觉也是慢慢挖出来的,不是一开始就有的。等你积累到一定的地步也一样可以(断言
不要做的(主观意识极强):
首先别用什么扫描器,什么nmap,Nessus别用,容易被封IP而且很多时候扫不到什么(对于新手扫到了估计很难有效利用,有种赛博闲逛的感觉),误报率也不低;不要对一个网站一直磕,太难的就放弃换目标(比如一个登录框有验证码还绕过不了,密码要求强制大小写特殊符号,这种登录框死磕就没意义);挖不到不用怪自己,只是你不够熟悉或者网站确实防护的很好,只要确保自己学到东西然后换一个继续挖就行
必须掌握的:
top10的简单基础;fofa/谷歌hack语法(一开始的话二选一就行),我觉得必应比谷歌搜到的东西更多,谷歌语法必应也能用;brupsuite,和一些字典(公众号github很多);多看多思考别人的案例,看到眼前一亮的做法就自己琢磨顺便笔记记下来,当然最重要的是自己也要上手,在实战遇到类似情况的时候能回想起来。
如果可以办个翻墙,最好有两个手机号有时候要两个账号对比数据包。
找漏洞:
这个过程不是你一个网站然后就死磕了,而是用谷歌语法去搜对应的相关网站(fofa其实也可以?不过总感觉新手更适合谷歌语法)。我觉得商城类的比edu好挖,功能点很多可以注册,后台功能点更多,所以之前很长时间谷歌语法搜商城为主,不过我朋友最开始是经常在edu挖到高危,反正看自己对哪个顺眼拿谷歌语法找相关网站就行。(网上很多介绍谷歌语法的自己看看就行)。有时侯可能前端有东西,推荐一个插件FindSomething自动提取前端api。实在不行你拿fofa一直搜后台找弱口令123456都能找到些低脂小漏洞。
边挖边学,很多时候CTF可能打过这类题目打了好多次但是实战还是不太适应的,不过只要上手适应起来很快。比如看见回显401/403就去学怎么403bypass,在电脑上做笔记/看见文件上传就去看看相关绕过相关文章,什么换后缀,图片马,上传xss全都去试一下/看见waf就复制它的信息去网上搜搜有什么绕过语法。不一定真的能绕过,但是这个过程一定会为下一次成功做准备。慢慢形成自己的框架思路就容易啦
多看别人是怎么挖的,自己多去动手,不要害怕失败
这篇关于新手src怎么挖到第一个漏洞(主观意识极强的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!