高危漏洞,也是分多种,逻辑或者注入之类的,挖掘注入漏洞就需要有足够好的底子,遇到waf的绕过,以及各种注入语句的尝试,而挖掘逻辑,最重要的就是心细,多测试
回答于 2021-07-16 10:30
可以了解下PHP黑魔法,绕过正则,在php的特定版本中,某些正则函数存在绕过问题,例如php5,3,29,这里可以直接用%0b绕过\s(空白字符)的匹配
回答于 2021-07-15 11:12
对于一个竞赛的学生来说,从中职开始的竞赛生活让我认识到了信息安全,从一开始的刷题准备比赛,到之后的了解到漏洞挖掘,参与到补天平台的漏洞挖掘中,一路上遇到很多师傅,感谢各位师傅对我的帮助。让我最难忘的无非就是因为比赛而踏入信息安全的大门
回答于 2021-07-15 11:09
WAF分为很多种,存在硬件WAF或者软件WAF,现在一般云WAF接入站点比较多,可以看返回包头,或者看WAF的一些特征,平常在实战中多收集,可以看这篇文章:https://www.cnblogs.com/charon1937/p/13799467.html
回答于 2021-07-14 15:39
希望有精英白帽师傅制作一些有趣的题目,贴合实战应用,答题成功可以获得小奖励或者小礼品什么的
回答于 2021-07-14 15:36
对内的敏感信息收集,以及对外的发起连接,还有在系统内执行管理员命令,或者是投放恶意广告URL
回答于 2021-07-14 13:30