5 如何在授权情况下进行可以使用goby等漏洞扫描工具,进行漏洞扫描,一般网上一搜都有教程,很简单,把资产放进去扫就可以了,如果是手工测的话,看情况一般就是资产中top10过一遍,然后就是逻辑漏洞过一遍,一般常见于注册,登录,后台等,如果碰到一些为什么特殊的框架的什么的,可以在bing搜索一些漏洞利用和监测工具,注意要在授权情况下进行
- 分类:其他
最佳答案 2024-04-19 16:08
挖洞最重要的是信息收集,不管是公益还是专属,保持良好的心态和积极向上的兴趣就好啦,挖不到就学习,学会了就去挖,循环反复。对于新手的话,先挖一些公益src和edusrc,最好是用手工挖掘,这样对自己的一个挖洞思路有很好的帮助。
cumt梅苑杀手
- 个人微信公众号:梅苑安全
其它 2 个回答
获取授权:
– 在开始任何扫描之前,必须获得目标资产所有者的明确授权。
– 这通常涉及书面协议或电子邮件确认,确保您有权进行扫描。
明确扫描范围:
– 与资产所有者明确讨论扫描的范围,包括要扫描的IP地址、域名或应用等。
– 确定扫描的时间窗口,以避免对正常业务造成干扰。
工具选择与配置:
– 选择合适的漏洞扫描工具,如Goby或其他专业工具。
– 根据扫描范围和目标资产的特点,配置扫描工具以优化扫描效果。
执行扫描:
– 在约定的时间内,启动扫描工具进行漏洞扫描。
– 监控扫描过程,确保它按照预期进行,并在必要时调整扫描参数。
结果分析:
– 仔细分析扫描结果,识别存在的漏洞和潜在风险。
– 根据漏洞的严重程度和影响范围,对结果进行优先级排序。
报告与沟通:
– 编写详细的漏洞扫描报告,包括发现的漏洞、风险等级、建议的修复措施等。
– 将报告提交给资产所有者,并与其讨论如何修复这些漏洞。
先进行信息收集,收集的资产越多,存在的薄弱点就可能越多,收集到资产进行指纹识别,筛选出重点资产再进行利用