新手src怎么挖到第一个漏洞(主观意识极强

2024-05-07 21:12

本文主要是介绍新手src怎么挖到第一个漏洞(主观意识极强,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  仅对于新手,而且有很强的主观看法(?这些话都是我很想对最开始的自己说的,可能有些东西还是不妥,以后厉害了再回来修改)
  不用有畏难情绪,挖洞和学某些学科,打游戏没什么不同,先建立起自己的框架然后慢慢填充细节一定能挖到,很多人说的直觉修改哪里这些直觉也是慢慢挖出来的,不是一开始就有的。等你积累到一定的地步也一样可以(断言


不要做的(主观意识极强):

首先别用什么扫描器,什么nmap,Nessus别用,容易被封IP而且很多时候扫不到什么(对于新手扫到了估计很难有效利用,有种赛博闲逛的感觉),误报率也不低;不要对一个网站一直磕,太难的就放弃换目标(比如一个登录框有验证码还绕过不了,密码要求强制大小写特殊符号,这种登录框死磕就没意义);挖不到不用怪自己,只是你不够熟悉或者网站确实防护的很好,只要确保自己学到东西然后换一个继续挖就行


必须掌握的:

top10的简单基础;fofa/谷歌hack语法(一开始的话二选一就行),我觉得必应比谷歌搜到的东西更多,谷歌语法必应也能用;brupsuite,和一些字典(公众号github很多);多看多思考别人的案例,看到眼前一亮的做法就自己琢磨顺便笔记记下来,当然最重要的是自己也要上手,在实战遇到类似情况的时候能回想起来。
如果可以办个翻墙,最好有两个手机号有时候要两个账号对比数据包。


找漏洞:

  这个过程不是你一个网站然后就死磕了,而是用谷歌语法去搜对应的相关网站(fofa其实也可以?不过总感觉新手更适合谷歌语法)。我觉得商城类的比edu好挖,功能点很多可以注册,后台功能点更多,所以之前很长时间谷歌语法搜商城为主,不过我朋友最开始是经常在edu挖到高危,反正看自己对哪个顺眼拿谷歌语法找相关网站就行。(网上很多介绍谷歌语法的自己看看就行)。有时侯可能前端有东西,推荐一个插件FindSomething自动提取前端api。实在不行你拿fofa一直搜后台找弱口令123456都能找到些低脂小漏洞。
边挖边学,很多时候CTF可能打过这类题目打了好多次但是实战还是不太适应的,不过只要上手适应起来很快。比如看见回显401/403就去学怎么403bypass,在电脑上做笔记/看见文件上传就去看看相关绕过相关文章,什么换后缀,图片马,上传xss全都去试一下/看见waf就复制它的信息去网上搜搜有什么绕过语法。不一定真的能绕过,但是这个过程一定会为下一次成功做准备。慢慢形成自己的框架思路就容易啦
多看别人是怎么挖的,自己多去动手,不要害怕失败

这篇关于新手src怎么挖到第一个漏洞(主观意识极强的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/968400

相关文章

AI绘图怎么变现?想做点副业的小白必看!

在科技飞速发展的今天,AI绘图作为一种新兴技术,不仅改变了艺术创作的方式,也为创作者提供了多种变现途径。本文将详细探讨几种常见的AI绘图变现方式,帮助创作者更好地利用这一技术实现经济收益。 更多实操教程和AI绘画工具,可以扫描下方,免费获取 定制服务:个性化的创意商机 个性化定制 AI绘图技术能够根据用户需求生成个性化的头像、壁纸、插画等作品。例如,姓氏头像在电商平台上非常受欢迎,

W外链微信推广短连接怎么做?

制作微信推广链接的难点分析 一、内容创作难度 制作微信推广链接时,首先需要创作有吸引力的内容。这不仅要求内容本身有趣、有价值,还要能够激起人们的分享欲望。对于许多企业和个人来说,尤其是那些缺乏创意和写作能力的人来说,这是制作微信推广链接的一大难点。 二、精准定位难度 微信用户群体庞大,不同用户的需求和兴趣各异。因此,制作推广链接时需要精准定位目标受众,以便更有效地吸引他们点击并分享链接

好题——hdu2522(小数问题:求1/n的第一个循环节)

好喜欢这题,第一次做小数问题,一开始真心没思路,然后参考了网上的一些资料。 知识点***********************************无限不循环小数即无理数,不能写作两整数之比*****************************(一开始没想到,小学没学好) 此题1/n肯定是一个有限循环小数,了解这些后就能做此题了。 按照除法的机制,用一个函数表示出来就可以了,代码如下

电脑桌面文件删除了怎么找回来?别急,快速恢复攻略在此

在日常使用电脑的过程中,我们经常会遇到这样的情况:一不小心,桌面上的某个重要文件被删除了。这时,大多数人可能会感到惊慌失措,不知所措。 其实,不必过于担心,因为有很多方法可以帮助我们找回被删除的桌面文件。下面,就让我们一起来了解一下这些恢复桌面文件的方法吧。 一、使用撤销操作 如果我们刚刚删除了桌面上的文件,并且还没有进行其他操作,那么可以尝试使用撤销操作来恢复文件。在键盘上同时按下“C

webm怎么转换成mp4?这几种方法超多人在用!

webm怎么转换成mp4?WebM作为一种新兴的视频编码格式,近年来逐渐进入大众视野,其背后承载着诸多优势,但同时也伴随着不容忽视的局限性,首要挑战在于其兼容性边界,尽管WebM已广泛适应于众多网站与软件平台,但在特定应用环境或老旧设备上,其兼容难题依旧凸显,为用户体验带来不便,再者,WebM格式的非普适性也体现在编辑流程上,由于它并非行业内的通用标准,编辑过程中可能会遭遇格式不兼容的障碍,导致操

怎么让1台电脑共享给7人同时流畅设计

在当今的创意设计与数字内容生产领域,图形工作站以其强大的计算能力、专业的图形处理能力和稳定的系统性能,成为了众多设计师、动画师、视频编辑师等创意工作者的必备工具。 设计团队面临资源有限,比如只有一台高性能电脑时,如何高效地让七人同时流畅地进行设计工作,便成为了一个亟待解决的问题。 一、硬件升级与配置 1.高性能处理器(CPU):选择多核、高线程的处理器,例如Intel的至强系列或AMD的Ry

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

禁止复制的网页怎么复制

禁止复制的网页怎么复制 文章目录 禁止复制的网页怎么复制前言准备工作操作步骤一、在浏览器菜单中找到“开发者工具”二、点击“检查元素(inspect element)”按钮三、在网页中选取需要的片段,锁定对应的元素四、复制被选中的元素五、粘贴到记事本,以`.html`为后缀命名六、打开`xxx.html`,优雅地复制 前言 在浏览网页的时候,有的网页内容无法复制。比如「360

script中的src

<script src="http://www.somewhere.com/afile.js"></script> 浏览器在解析这个资源时,会向 src 属性指定的路径发送一个 GET 请求,以取得相应资源,假定 是一个 JavaScript 文件。这个初始的请求不受浏览器同源策略限制,但返回并被执行的 JavaScript 则受限制。 当然,这个请求仍然受父页面 HTTP/HTTPS

Spring Roo 实站( 一 )部署安装 第一个示例程序

转自:http://blog.csdn.net/jun55xiu/article/details/9380213 一:安装 注:可以参与官网spring-roo: static.springsource.org/spring-roo/reference/html/intro.html#intro-exploring-sampleROO_OPTS http://stati