Web安全小结

语言: CN / TW / HK

最近准备花一点时间,重新梳理一下自己的技术栈,不能让以前做的实验,都搞忘记了,最近联合面试了几个AI安全交叉研究员,多领域开花这种模式确实很创新,让人眼前一亮,却发现一些CTF获奖的求职者,明明才过去不到2年,已经完全不记得自己做过什么,只留下简历上的曾获得某某信息安全夺旗比赛x等奖,作为一个普通人,交叉领域出成绩,确实是一件非常困难的事情,这时候终于能够感同身受了。

手动SQL注入:错误注入、布尔注入、Union注入、盲注

自动SQL注入:SQLMap的使用

手动XSS注入:反射型、存储型弹窗

自动XSS注入:BeEF框架的使用

代理 BurpSuite fiddler (代理拦截数据包)

在线暴力破解 hydra medusa(弱口令暴力破解成功)

离线暴力破解 fcrackzip join(弱口令暴力破解成功)

拒绝服务 LOIC AnonymousDoser Slowloris rudy(测试单点拒绝服务)

漏扫 AWVS nessus nikto zgrab (测试漏洞扫描工具)

Webshell 中国菜刀 蚁剑(测试连接webshell)

蜜罐 HFish Glastopf (搭建蜜罐)

最后也轻轻尝试了一下,在漏洞挖掘中的一点小成绩,慢慢加油~

在补天漏洞平台上提交1个漏洞:

  • 知乎某社区xss漏洞:QTVA-2018-867959(中危)

在漏洞盒子平台上提交2个漏洞:

  • 合肥老乡鸡-H3C小贝路由器后台弱口令可导致断网:vulbox-2019-0200423(中危)
  • 远程桌面协议RDP拒绝访问漏洞(MS12-020):vulbox-2019-0191084(高危)