加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 大数据 > 正文

米斯特白帽培训讲义 挖掘篇 厂商寻找

发布时间:2021-01-02 04:46:27 所属栏目:大数据 来源:网络整理
导读:米斯特白帽培训讲义 挖掘篇 厂商寻找 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 厂商是什么 厂商可以是一个网站(Web 应用),或者一段程序(PC、移动应用)。从白帽子的角度来说,两个都是厂商,都可以挖掘。 基于漏洞平台的寻找 现在国内有三大漏

米斯特白帽培训讲义 挖掘篇 厂商寻找

讲师:gh0stkey

整理:飞龙

协议:CC BY-NC-SA 4.0

厂商是什么

厂商可以是一个网站(Web 应用),或者一段程序(PC、移动应用)。从白帽子的角度来说,两个都是厂商,都可以挖掘。

基于漏洞平台的寻找

现在国内有三大漏洞平台:

补天

补天是零门槛的,不需要邀请码。

目前已加入补天的所有厂商请见https://butian.360.cn/company/lists。不同的是,它设置了私有 SRC 厂商,请见https://butian.360.cn/company/reward。私有 SRC 厂商即付费厂商,是给现金奖励的。

此外,如果发现其他网络的漏洞也可以提交,补天并不只收列出来的厂商。

米斯特白帽培训讲义 挖掘篇 厂商寻找

乌云

由于现在已经关闭了,这里只是稍微提一下。

厂商请见http://www.wooyun.org/corps/,同样不只收列出来的厂商。

乌云的账号注册需要邀请码。如果没有也不影响漏洞提交,漏洞审核之后会发给你邀请码。

漏洞银行

厂商列表http://www.bugbank.com/tasklist.html。需要邀请码,并且只收列出来的厂商,奖金也比较丰富。

基于搜索引擎的寻找

主要推荐四大搜索引擎:

  • 百度www.baidu.com
  • 谷歌www.google.com
  • 钟馗之眼www.zoomeye.com
  • 傻蛋www.oshadan.com

前两个是通用搜索引擎,Google/Baidu Hack 的技巧不多说了。

那么如何构建搜索关键词?

  • 系统/后台类,可以搜索“xxx系统/平台/管理”。
  • 企业类,可以搜索“xxx企业/公司/平台”。

比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。

这里使用傻蛋这个平台演示一下,它不仅仅能监控系统,还能搜索到一些内网的系统。比如我们要挖一些电信系统,这里点击全网搜索,可以看到很多外网看不到的内部系统。

米斯特白帽培训讲义 挖掘篇 厂商寻找

米斯特白帽培训讲义 挖掘篇 厂商寻找

我们点击其中一个“汕尾用电监控系统”,可以看到详细的用电情况,这个就属于一种越权或者绕过。

米斯特白帽培训讲义 挖掘篇 厂商寻找

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读