哈喽,师傅们!
这次给师傅们分享的是前段时间给某单位的一个众测项目,跟着几个大牛师傅一起做的项目,这次就给师傅们分享两个我自己挖的几个不敏感的漏洞,放上去给师傅们演示下,然后给师傅们分享下,让师傅们能够对短信轰炸/验证码可爆破/任意用户注册/spf邮件伪造漏洞有一个更加深刻的感触,然后也让师傅们感受下众测。
首先众测之前都会先给我们发一个资产的汇总表格,然后让我们跟着这个资产表格去打相关的资产,这个过程中资产收集和信息收集就很重要了,在这个过程中很多师傅们在收集边缘资产的时候,很容易打偏,导致众测甲方不收这个漏洞,说通俗点也就是没有钱。
下面这个是我前段时间的一个众测的一个资产表格,有域名、IP然后就是app、web站点、微信小程序等资产。
我们可以使用灯塔和FOFA联合使用,然后进行对目标资产的域名和IP进行一个子域名挖掘和指纹相关的识别,还有就是敏感信息探测
然后等着灯塔扫描完成以后,就可以在资产里面查看扫描结果了
需要注意的是这里的POC建议不上,直接上指纹就可以了,因为上POC很多安全设备之类的就容易把你的IP给ban了
像打POC的话可以单独使用无影这个工具或者其他的工具也可以
说到利用POC了,那么我给师傅们推荐下DayDayPOC这个站点,里面的POC还是写的蛮详细的,比如在网上一些POC不公开,在里面很多都是可以找到的
你像比如最新出的一些漏洞,这个平台都有,我们查看这个站点的POC的时候需要提前注册登录下
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:2 金币
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
98k | 4.00 | 0 | 2024-10-24 20:08:47 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
98k
发表于 16小时前
干货满满
评论列表
加载数据中...
小瑟斯
发表于 28分钟前
涨知识了
评论列表
加载数据中...