小白如何挖掘属于自己的第一个漏洞(无脑篇)

原创 于 2025-12-22 13:27:22 发布 · 292 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #网络 #网络安全 #计算机网络 #经验分享 #漏洞挖掘

小白如何挖掘属于自己的第一个漏洞(无脑篇)

本篇讲的是毫无技术的小白如何挖掘第一个漏洞。

使用到的工具

1、浏览器:谷歌、火狐等等。

2、电脑(windows、macos、linux等等)

3、fofa、hunter、00信安、fofa查询工具

(https://github.com/wgpsec/fofa_viewer/releases)等

在一个夜黑风高的晚上,月光被乌云遮掩,四周的树影在风中摇曳,仿佛在低语。远处传来几声猫头鹰的鸣叫,打破了寂静。小镇的街道上空无一人,只有路灯投下微弱的光辉,映照出斑驳的石砖。突然,一阵寒风袭来,似乎带来了未知的气息。夜色中的一扇窗户微微开启,透出一丝温暖的光亮,像是黑暗中的一盏明灯,吸引着那颗渴望冒险的心。

就在这时拿出电脑打开我们的浏览器在浏览器中查找目标,简单的一些漏洞,比如:弱口令、get型的未授权访问等等

如使用百度语句弱口令漏洞 fofa进行检索,进入一篇文章可得到fofa语句:app=“JAWS”

通过fofa查询工具将查询结果批量导出

如果没有fofa会员怎么办,那就低价淘一个

通过上面百度的文章可以得到弱口令

小白的话就硬玩儿,一个一个尝试,打开其中一个输入弱口令如果不行那就换下一个,就可以进入后台非常的刺激。健康又美味啊兄弟们!

互动话题:如果你想学习更多网安方面的知识和工具,可以看看以下题外话!

网络安全学习路线&学习资源

很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的**《平均薪资40w的网络安全工程师学习路线图》**对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

如果你想要入坑黑客&网络安全工程师,这份282G全网最全的网络安全资料包!
↓↓↓ 扫描下方图片即可前往获取↓↓↓

网络安全学习路线&学习资源

在这里插入图片描述


在这里插入图片描述
学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

网络安全源码合集+工具包

​​​​​​

视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,,每个章节都是当前板块的精华浓缩。(全套教程点击领取哈)

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

视频配套资料&国内外网安书籍、文档&工具

​​​​​
​​ 因篇幅有限,仅展示部分资料,需要扫描下方图片即可前往获取
在这里插入图片描述好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!

特别声明:

此教程为纯技术分享!本文的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!

黑客三更
关注
两个月,成为一名可独立挖漏洞的渗透人员
网安技术分享
08-03 2273
“”两个月的时间 ,从小白进阶为有独立能力进行漏洞挖掘的渗透人员应该怎样做?”
技术小白成长之路 - 谷歌云端 GCP Cloud Engineering - 第一 - 核心架构 Core Infrastructure
chenyudora的博客
06-06 3894
谷歌云端 GCP Cloud Engineering - 第一 - 平台交互谷歌云端平台GCP简介二级目录三级目录1. 谷歌云端平台GCP资源层次结构2. VPC Network3. 存储与数据库Cloud Storage和Cloud BigtableCloud SQL和Cloud Spanner容器,K8S, 与K8S Engine4. --- App Engine云开发 谷歌云端平台GCP简...
小白如何挖掘属于自己第一个漏洞,从零基础到精通,收藏这就够了!
leah126的博客
03-02 965
在一个夜黑风高的晚上,月光被乌云遮掩,四周的树影在风中摇曳,仿佛在低语。夜色中的一扇窗户微微开启,透出一丝温暖的光亮,像是黑暗中的一盏明灯,吸引着那颗渴望冒险的心。小白的话就硬玩儿,一个一个尝试,打开其中一个输入弱口令如果不行那就换下一个,就可以进入后台非常的刺激。健康又美味啊兄弟们!就在这时拿出电脑打开我们的浏览器在浏览器中查找目标,简单的一些漏洞,比如:弱口令、get型的未授权访问等等。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享
网安小白成长日记——来搭建属于自己第一个DVWA靶场
记录成长,资源共享
07-25 1475
本文详细介绍了DVWA(Damn Vulnerable Web Application)靶场环境的搭建过程。DVWA是一款专为网络安全学习设计的漏洞测试平台,包含SQL注入、XSS等常见Web漏洞。文章分步骤讲解了MySQL、Apache、phpStudy等组件的安装配置,重点解决了PHP连接MySQL8.0+版本时的验证插件不兼容问题,通过修改MySQL配置文件将验证方式改为mysql_native_password。最后指导读者将DVWA部署到phpStudy网站根目录,并通过配置Apache虚拟目录实
新手小白如何快速挖到第一个漏洞
m0_53844310的博客
02-04 1867
新手小白如何快速挖到第一个漏洞
零基础小白如何入门CTF,看这一就够了
weixin_42340783的博客
10-29 753
1️⃣MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目,都属于这类题目。主要考查参赛选手的各种基础综合知识,考察范围比较广。2️⃣PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC相比ACM来说,还是较为容易的。
我的第一个可遍历越权漏洞-变相取消他人订单
m0_64557525的博客
06-03 767
我的第一个可遍历越权漏洞-变相取消他人订单
双色球漏洞网站/漏洞查询网站-小白网络安全知识点
2401_84915584的博客
06-29 1201
漏洞盒子(Vulbox)是上海斗象信息科技有限公司旗下的漏洞测试服务平台(以下简称“我们”)。我们致力于成为一个互联网安全服务平台,平台还在不断的进步,我们也在努力完善。
漏洞POC是什么/一种基于漏洞poc实现安卓系统漏洞检测的方法与流程_小白信息安全自学
程序员三九的博客
07-22 1195
本发明属于安卓系统安全防护技术领域,尤其涉及一种安卓系统漏洞检测方法。背景技术:随着互联网和智能移动终端在人们生活中的日益普及,移动安全问题和安全隐患也随之愈来愈严重。
手把手edusrc漏洞挖掘和github信息收集
2401_83799022的博客
07-03 1015
对于新人刚开设挖edusrc的时候需要花大量的时间来找系统和信息收集,当你遇见的系统又waf的时候可以适当的放弃别再这上面花时间了,列入sql注入,一个单引号尝试报错和闭合(最多就是把简单的绕过尝试一下)如果不行,那就果断放弃。显而易见的是查询功能,那么第一反应是sql注入,如果有waf,可以轻微尝试绕过,因为edu中的系统相对于企业中就脆弱多了,当然sql注入理解的越深入,那么你挖sql注入的概率越大,任然常规操作,可以看看逻辑漏洞是否可以直接爆出密码这些。
精选资源
基于python开发的漏洞扫描器项目源码+项目说明.zip
10-24
2.小白下载后,使用时可能会遇到些小问题,若自己解决不了,请私信描述具体问题,我会第一时间回复提供帮助,也可以远程指导 3.适用人群:各大计算机相关专业行业的在校学生、高校老师、公司程序员等下载使用 4....
网络安全中级阶段学习笔记(十):upload靶场实战(17关以及问题解决)
2501_91976946的博客
12-20 749
本文介绍了upload靶场第17关的解题过程,重点探讨了绕过二次渲染的方法。作者最初尝试使用png图片木马失败,后发现只有gif图片才能找到未被渲染修改的相同编码区域。通过对比原图与渲染后图片的Hex码,找到不受影响的区域并替换为木马代码。具体步骤包括:上传gif图片马、下载渲染后的图片、用EmEditor工具对比编码、在相同区域插入木马代码并保持格式一致,最后重新上传修改后的文件。该方法成功绕过了二次渲染的防护机制,实现了文件包含漏洞的利用。
正反向代理:网络安全核心技术
Cby121353的博客
12-18 1069
正反向代理,概念,安全角色
汽车网络安全合规核心框架深度解读---ISO 21434、UN R155与UN R156(上)
最新发布
Soly_kun的博客
12-21 625
摘要: 本文系统解析了汽车网络安全三大核心标准(ISO/SAE 21434、UN R155、UN R156)的技术框架与合规要求。ISO/SAE 21434作为方法论基石,提出全生命周期网络安全工程实践;UN R155以强制性法规形式要求主机厂建立网络安全管理体系(CSMS),确保市场准入;UN R156则规范OTA软件更新的安全管理(SUMS)。三者构成“技术标准-整车安全-软件更新”的合规闭环,推动汽车产业从被动防御转向主动防护。合规挑战在于供应链协同与技术落地,企业需以ISO标准为支撑,结合法规要求构
推荐一些适合零基础学习网络安全的具体在线课程或书籍?
2401_85023633的博客
12-18 1034
本文提供了一份网络安全学习资源指南,推荐了多种适合不同阶段的在线课程、平台和书籍。课程方面包括新手友好的TryHackMe、实战导向的HackTheBox以及体系化的极客时间课程;书籍推荐涵盖Linux基础、网络原理和Web安全经典著作。学习路径建议从计算机基础开始,逐步过渡到专项学习和实战演练,强调理论与实践相结合。文中还推荐了DVWA靶场和CTF平台等实践资源,帮助学习者循序渐进地掌握网络安全技能。
Web安全】SSRF
qinjilll的博客
12-12 1048
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
内网渗透是网络安全渗透测试
2501_93842368的博客
12-18 1147
内网渗透是网络安全渗透测试的核心环节之一,指在(如拿下 Web 服务器、外网主机权限)后,对内部网络进行横向移动、权限提升、信息收集、持久化控制的一系列操作。其知识体系涵盖。
【Geek渗透之路】小迪安全笔记——web安全(3)
geekgold的博客
12-21 517
摘要: 本文详细分析了IIS(Internet Information Services)的安全漏洞及其利用方法,重点探讨了数据库泄露、注入攻击、HTTP.SYS漏洞、短文件漏洞、解析漏洞及文件上传配置错误等风险。文章还介绍了Access和MySQL数据库的注入技术,包括回显注入、无回显注入、报错注入及堆叠注入等,并提供了防护建议。此外,针对文件上传漏洞,分析了多种绕过方式(如黑名单绕过、条件竞争、二次渲染等)及安全存储方案(如OSS对象存储)。最后,文章概述了XSS、CSRF、SSRF等常见Web攻击的原
基于图神经网络+大模型的网络安全APT检测系统:从流量日志到攻击链溯源的实战落地
qq_74383080的博客
12-16 700
本文提出了一种基于图神经网络(GNN)和大型语言模型(LLM)的高级持续性威胁(APT)检测系统。该系统通过构建"主机-进程-网络"异构图,利用GraphSAGE识别异常行为模式,并结合LogsBERT进行语义分析,最后通过LLM生成攻击链报告。实际部署结果显示,该系统将APT检出率从传统方法的15%提升至97.3%,误报率从120次/天降至3次/天,攻击溯源时间从8小时缩短至25分钟。
我是一个小白,怎么样去训练一个属于自己的图像生成AI
11-27
对于小白而言,训练一个属于自己的图像生成AI可按以下方式进行: ### 选择合适的模型架构 常见的图像生成模型架构有Transformer + 扩散模型组合(如DALL·E 2采用的架构)、Rectified Flow + MMDiT架构等。对于小白,扩散模型相对容易上手,因为它有许多开源的实现和丰富的教程。例如Stable Diffusion就是基于扩散模型的开源图像生成模型,可以作为学习和训练的基础。 ### 准备数据集 数据集的质量和多样性对模型训练效果至关重要。可以根据自己的需求选择公开数据集,如CIFAR - 10、MNIST等,这些数据集包含了大量的图像数据,适合用于基础的图像生成训练。如果有特定的生成需求,也可以自己收集和整理数据集,但要注意数据的标注和清洗。 ### 选择开发环境 可以使用Python作为主要的编程语言,结合深度学习框架如PyTorch或TensorFlow进行开发。这些框架提供了丰富的工具和函数,方便进行模型的构建、训练和评估。以下是一个使用PyTorch的简单示例: ```python import torch import torch.nn as nn # 简单的图像生成模型示例 class SimpleImageGenerator(nn.Module): def __init__(self): super(SimpleImageGenerator, self).__init__() self.fc = nn.Linear(100, 784) # 假设输入是100维的噪声向量,输出是28x28的图像 def forward(self, x): return torch.sigmoid(self.fc(x)) model = SimpleImageGenerator() ``` ### 进行模型训练 在训练过程中,需要定义损失函数和优化器。对于图像生成任务,常用的损失函数有均方误差损失(MSE)、交叉熵损失等。优化器可以选择随机梯度下降(SGD)、Adam等。以下是一个简单的训练循环示例: ```python import torch.optim as optim criterion = nn.MSELoss() optimizer = optim.Adam(model.parameters(), lr=0.001) # 假设data是训练数据,target是目标图像 for epoch in range(num_epochs): optimizer.zero_grad() output = model(data) loss = criterion(output, target) loss.backward() optimizer.step() ``` ### 评估和优化模型 训练完成后,需要对模型生成的图像进行评估。可以使用一些指标如峰值信噪比(PSNR)、结构相似性指数(SSIM)等来评估图像的质量。根据评估结果,调整模型的参数和训练策略,以提高生成图像的质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值