Web安全小結

語言: CN / TW / HK

最近準備花一點時間,重新梳理一下自己的技術棧,不能讓以前做的實驗,都搞忘記了,最近聯合面試了幾個AI安全交叉研究員,多領域開花這種模式確實很創新,讓人眼前一亮,卻發現一些CTF獲獎的求職者,明明才過去不到2年,已經完全不記得自己做過什麼,只留下簡歷上的曾獲得某某信息安全奪旗比賽x等獎,作為一個普通人,交叉領域出成績,確實是一件非常困難的事情,這時候終於能夠感同身受了。

手動SQL注入:錯誤注入、布爾注入、Union注入、盲注

自動SQL注入:SQLMap的使用

手動XSS注入:反射型、存儲型彈窗

自動XSS注入:BeEF框架的使用

代理 BurpSuite fiddler (代理攔截數據包)

在線暴力破解 hydra medusa(弱口令暴力破解成功)

離線暴力破解 fcrackzip join(弱口令暴力破解成功)

拒絕服務 LOIC AnonymousDoser Slowloris rudy(測試單點拒絕服務)

漏掃 AWVS nessus nikto zgrab (測試漏洞掃描工具)

Webshell 中國菜刀 蟻劍(測試連接webshell)

蜜罐 HFish Glastopf (搭建蜜罐)

最後也輕輕嘗試了一下,在漏洞挖掘中的一點小成績,慢慢加油~

在補天漏洞平台上提交1個漏洞:

  • 知乎某社區xss漏洞:QTVA-2018-867959(中危)

在漏洞盒子平台上提交2個漏洞:

  • 合肥老鄉雞-H3C小貝路由器後台弱口令可導致斷網:vulbox-2019-0200423(中危)
  • 遠程桌面協議RDP拒絕訪問漏洞(MS12-020):vulbox-2019-0191084(高危)