关于脚本小子是怎么水上师长这件事
1. 挖什么漏洞
双十一师长及以上军衔只能通过高危漏洞及以上漏洞才能获得,所以需要把测试范围限制在高危就行了,比如:sql注入,逻辑,xxe,SSRF,文件上传,命令/代码执行就行了,其中sql注入,逻辑漏洞是比较容易碰到的,在我看来漏洞都是正常功能的不正常使用造成的,xxe,SSRF,命令/代码执行等则是根据业务基本不会在用户端使用,而文件上传,任意文件读取则因为都是大厂基本会上传至存储桶。比如我这次的高危是
美团3个逻辑
小米1个支付漏洞,1任意文件读取
贝壳1个sql注入
快手1个sql注入
网易1个SSRF
注入和支付漏洞是不容易扯皮的,其他的碰到部分厂商可能会降级
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| lcb | 0.80 | 0 | 2023-12-13 11:11:57 | 一个受益终生的帖子~~ |
| ruif777 | 4.00 | 0 | 2023-12-13 10:10:45 | 一个受益终生的帖子~~ |
| Track-魔方 | 200.00 | 0 | 2023-12-12 19:07:12 | 200 后续师傅可以具体分享一下挖洞思路,金币多多~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
yufei
发表于 2023-12-13
1
评论列表
加载数据中...