SRC挖掘思路及方法

最新推荐文章于 2025-03-06 14:52:08 发布
最新推荐文章于 2025-03-06 14:52:08 发布
阅读量1.9w 收藏 507
点赞数 85
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_65606241/article/details/124673704
版权
本文介绍了SRC漏洞挖掘的基本流程,重点讲述了如何利用谷歌语法进行信息收集。针对SQL注入,通过示例展示了利用单引号、and条件验证以及SQLmap进行测试的过程。对于XSS漏洞,提到了留言板的常见测试点,而弱口令漏洞则建议使用谷歌语法搜索后台并进行批量爆破。这些方法对新手挖掘SRC漏洞具有指导意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。

src推荐新手挖洞首选漏洞盒子,因为漏洞盒子范围广,国内的站点都收。相比于其他src平台,挖掘难道很适合新手。

漏洞挖掘,信息收集很重要。

这里以部分实战展开讲解。

首先说一下谷歌语法吧 !!!

如下可通过fofa、钟馗之眼、shodan等网络空间搜索引擎搜索Google镜像。

# SQL注入挖洞基本流畅

  1. 1.找漏洞,通过基本的site:、inurl:谷歌语法。

  2. 2.找到一个站点,各种点点点,找他的注入点。

  3. 3.找不到注入点,信息收集。

  4. 4.然后就是一些列操作。

最低0.47元/天 解锁文章
judge yyds
关注
批量挖掘SRC思路与实践一
悦分享
07-07 3247
在接触src之前,我和很多师傅都有同一个疑问,就是那些大师傅是怎么漏洞的?与日常靶场训练不同,SRC漏洞挖掘更偏向于对业务资产的熟悉程度,除了需要掌握渗透测试的技术要点以外,可以思考一下是否在信息收集这一块做足了功夫,这是很多萌新容易忽略的点。为什么我说信息收集需要做足功夫?想象一下,一个大型网站的主站点每天将要经历多少白帽子轮番的测试。发现一个漏洞,很快就会被修复,全网白帽都在盯着这一块“香饽饽”,你想要后来者居上,事实上这就是一个非常难的事情。这个时候能怎么办?这就是我今天强调的重点了——信息收集,资
批量挖掘SRC思路与实践二
悦分享
07-07 1370
Poc: 文本框里可以命令执行漏洞的批量检测在知道这个漏洞详情之后,我们需要根据漏洞的特征去fofa里寻找全国范围里使用这个系统的网站,比如用友nc在fofa的搜索特征就是: 可以看到一共有9119条结果,接下来我们需要采集所有站点的地址下来,这里推荐狼组安全团队开发的fofa采集工具fofa-viewer。 然后导出所有站点到一个txt文件中,根据用友nc漏洞命令执行的特征,我们简单写一个多线程检测脚本。 运行完后得到所有漏洞站点的txt文件域名和权重的批量检测在我们提交补天等漏洞平台时,
SRC漏洞挖掘思路手法(非常详细)网络安全零基础入门到精通,收藏这一篇就够了!
白帽阿叁的博客
02-07 1401
大家好,我是程序员晓晓。这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘思路技巧。
SRC漏洞挖掘经验+技巧篇
最新发布
wly55690的博客
03-06 884
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维等过程)中产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。
国内SRC漏洞挖掘技巧与经验分享
02-01
国内SRC漏洞挖掘技巧与经验分享 包括:信息收集、字典生成、业务安全、APP测试等内容
SRC漏洞挖掘思路手法(非常详细),零基础入门到精通,收藏这一篇就够了
热门推荐
Python_paipai的博客
01-31 1万+
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘思路技巧。很多人可能都过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有一定的技术能力。很多都感觉自己那种大厂的漏洞都不倒,上一两个小时或者半个小时就不了,没什么进展,往往这种想法是错误的,其实对于一些src漏洞挖掘和别的站点漏洞挖掘都大差不大,但是为什么都感觉自己
【2025版】最新SRC漏洞挖掘思路手法(非常详细),零基础入门到精通,收藏这篇就够了
喜欢Python编程的程序员柚柚呀
02-10 1407
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘思路技巧。很多人可能都过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有一定的技术能力。
SRC挖掘思路方法(非常详细)零基础入门到精通,收藏这一篇就够了
2401_84618514的博客
12-02 1408
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
SRC漏洞挖掘实战经验总结
10-28
漏洞挖掘则是SRC的核心任务之一,通过使用各种方法和技术,寻找并识别代码中的安全缺陷,这些缺陷可能被恶意攻击者利用,导致数据泄露、系统瘫痪等严重后果。 二、渗透测试的重要性 渗透测试是SRC漏洞挖掘的重要...
SRC挖掘PPT.zip
07-19
标题中的“SRC挖掘PPT.zip”表明这是一份关于源代码审计(Source Code Review, 简称SRC)中漏洞挖掘技术的压缩包文件。SRC是网络安全领域中一种重要的实践,通过对软件源代码进行深入审查,查找并修复潜在的安全漏洞...
挖掘src之路
04-24
网络漏洞挖掘 挖掘src之路
【赏金猎人】记一次SRC挖掘思路
红队是青春
03-14 503
SRC挖掘思路第一篇,我的赏金猎人之路。
SRC逻辑漏洞挖掘详解以及思路和技巧(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
07-17 1924
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等,下图是简单的逻辑漏洞总结,在挖掘的过程中更多的时候需要脑洞大开:挖掘逻辑漏洞的过程中,需要一些技巧和非常规思路,有点像边缘测试的思想。确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题0X01 逻辑漏洞分类。
如何入门挖掘src
2301_77512689的博客
05-19 789
而且,SRC提交这事从来都是前人吃肉后人喝汤的局面,对于这样的平台,综合考虑自身的实力因素,打算先放弃挖掘这样的SRC。等到我洞的时候,我才发现,即使一个网站url是:?我发现自己只会挖掘一些SQL注入,信息泄露,文件上传还有已知组件缺陷的漏洞,对于某些隐藏透露的点,如报错、类型限制等,有时候感觉是洞但挖掘不了,有种无从下手的感觉。电商平台:一般会有注册登录的功能,可以尝试注册,然后修改头像昵称什么的,另外可以关注优惠券,cookie,越权等,但我遇到的很多都是用dedecms,防护做的很好。
SRC漏洞挖掘经验+技巧篇_src漏洞挖掘实战
ytt0523_com的博客
03-27 2301
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
xss漏洞挖掘思路包括
05-24
以下是一些常见的 XSS 漏洞挖掘思路: 1. 输入点测试:检查应用程序中任何通过用户输入向服务器发送数据的位置,例如表单、搜索框、评论框等。 2. 输出点测试:检查应用程序中任何将数据呈现给用户的位置,例如...
评论 39
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值