渗透测试之漏洞挖掘指南(一)

1.漏洞挖掘中什么漏洞最多?

新手想快速挖掘到漏洞,要专注在业务逻辑前端漏洞

--  业务逻辑 (弱密码,等等)

--  前端漏洞  (xss, csrf , cors, jsonp...)

2. 常见漏洞提交平台

渗透测试之漏洞挖掘指南(一)_第1张图片

注册应急响应中心的话,需要实名制的,就不会触犯法律:

不推荐使用扫描器的:支付宝必须要先登录账户,扫描效果没有的。

渗透测试之漏洞挖掘指南(一)_第2张图片

3.常见漏洞提交平台

hackone  是国外漏洞挖掘平台,收益比较高。提交时候,用英文报告,接收美元的银行账户。

渗透测试之漏洞挖掘指南(一)_第3张图片

4.漏洞攻略  -  利用好搜索引擎

渗透测试之漏洞挖掘指南(一)_第4张图片

渗透测试之漏洞挖掘指南(一)_第5张图片

5.挖掘漏洞入手:

渗透测试之漏洞挖掘指南(一)_第6张图片

渗透测试之漏洞挖掘指南(一)_第7张图片

利用bp:

渗透测试之漏洞挖掘指南(一)_第8张图片

平行越权,垂直越权

你可能感兴趣的:(安全)