61 个回答
请问各位师傅,想着手JAVA代码审计,有什么比较好的资料或者入门...
最近新出的 java代码审计入门篇挺不错 的,适合刚入门或者想要进行java代码审计的。另外也可以从框架, 远程命令执行、代码执行, ofcms、javapms等cms , 进行提升
回答于 2021-08-05 20:06
入门 Java 代码审计, 师傅们有什么好的路线推荐
建议先从底层开始。先从框架漏洞开始,然后就到 OWASP top10大漏洞1、查看该系统所用框架 struts2 spring mybatis xml2、查找SQL注入 DAO:是否存在拼接的SQL语句 XML中:是否使用$,3、第三方控件漏洞 fckeditor,wordpress4、文件上传、远程命令执行、远程代码执行、越权下载、逻辑5、ofcms、javapms等cm...
回答于 2021-08-02 13:11
求一个学python的思路,辅助安全
先学会python的基础,然后就是学会requests、socket等库的使用,还有就是书籍 python黑帽子、python安全攻防、python绝技等等
回答于 2021-08-01 22:21
想咨询二进制的漏洞分析如何入门
1、前置知识 c语言、汇编语言、python、操作系统基本知识、编译原理、一个耐心2、学习路径 x86架构:栈溢出系列–格式化字符串漏洞系列–整数溢出 进阶1:堆漏洞系列 进阶2:arm,mips,iot,内核,安卓最好是写个博客,多做笔记,多打基础,有基础了就去练习pwn的题目
回答于 2021-08-01 22:18
SQL盲注的时候怎么判断数据库类型,求大佬补充
1、通过数据库特有的数据表来判断2、通过数据库特有的连接符判断数据库类型3、通过页面返回的报错信息,一般情况下页面报错会显示是什么数据库类型
回答于 2021-08-01 22:13
最近在HVV,分配到的资产政府网站占了七成,找了子域和c段都是政...
组合拳,弱口令加社工,跑跑目录,有waf确实很头疼,做好信息收集吧,把攻击面扩大点,这样也许不用为waf头疼
回答于 2021-08-01 13:32
学信息安全专业,感觉在学校里学不到什么东西,想问问请教各位师...
有时候会挖洞并不一定会ctf,建议你先从信息收集和 十大漏洞的原理开始,还有练习相对应漏洞的靶场,这样是最好的,有助于巩固加深印象和技术,一定要经常实战,不能不动手。ctf可以后期再去接触,再去玩,
回答于 2021-08-01 13:31
求大佬指教,新手应该怎么入门漏洞挖掘,我现在只会简单的使用Bu...
信息收集开始吧,如果你已经会 各大漏洞的原理,有了基础,可以适当的专研一下信息收集,如果你没有基础,原理还不是很熟悉,就应该学习原理,打靶场进行巩固,加深对原理的印象,这样是最好的,其次的代码能力是你后面的事情了,学无止境。
回答于 2021-08-01 13:28
兄弟们如何成为挖洞大佬
计算机网络基础的知识 tcp/ip ,前端html+css+js,然后就是开始初步的踏入,从信息收集开始,学习 OWASP top10十大漏洞原理,熟悉并掌握,熟悉burpsuite、sqlmap等安全工具的使用,学会python可以简单的写脚本与工具,学会PHP可以使你的代码审计能力更好,内网也可以适当的接触。总结就是信息收集很重要,信息收集面越大,攻...
回答于 2021-08-01 13:26