24 个回答
大佬们代码审计都是用工具吗,求推荐好用的工具
可以找一些cms先用工具跑一下,如果有效果针对性对跑出的代码逻辑可以分析,如果能力好可以上手直接看代码逻辑进行分析,工具吧java你搞个fortify跑跑代码
回答于 2021-10-22 16:46
除了DVWA、Sqli-Labs、OWASP外还有没有免费好用的靶机环境,最好...
1、Vulhub: (各种漏洞环境集合,一键搭建漏洞测试靶场)https://vulhub.org/(在线版)https://github.com/vulhub/vulhub(离线版)2、vulnhub:(国外实战靶场,适合入门提高)https://www.vulnhub.com/3、vulnstack(红队实战靶场,域、横向渗透、多层网络,强烈推荐,目前共7个靶场,网上writeup齐全)http://vulnstack.q...
回答于 2021-10-22 16:39
怎么发现目标
1、如果是互联网公益src,你可以先考虑挖那些类型的漏洞,然后fofa之类的进行收集,收集到逐一或者批量测试;2、如果是一些众测或企业src,你可以先确定挖那个企业,然后进行信息收集,尝试漏洞挖掘
回答于 2021-10-21 18:37
想请教一个问题,就是在测试pc端软件的时候,自身软件有证书,使...
可以看一下具体的报错内容,再分析其原因,可以尝试将default规则修改为Direct规则试试
回答于 2021-10-21 18:34
vulfocus靶场中的webmin那道题怎么解
关于该漏洞的分析和利用方法:https://blog.csdn.net/whatday/article/details/106978162有msf的利用方法和python的检测脚本,可以进行测试
回答于 2021-10-11 17:45
web路径字典你们都用的是在哪里下载的
1、github搜索字典目录(top类的、网络/安全设备默认口令、cms等系统默认口令等)2、一系列工具的自带字典(超级弱口令扫描工具、msf等等)
回答于 2021-09-30 17:22
有熟悉应急响应的师傅吗,你们都是怎么处理网页篡改
断网、然后分析被篡改页面的内容在哪,以及是否有其他被篡改的页面,对所有篡改后的文件以及要分析的原始文件做备份,方便后续还要做分析,当然能对系统打个镜像更好,然后常规操作,分析日志、文件、账户、进程、计划任务、注册表等一些列,确认攻击者从哪进来的,进来后都做了什么,除了篡改后还有没有干其他操作
回答于 2021-09-30 17:15
请问一般小型的cms应该在哪找
1、github搜索cms,或者对应语言php、asp、java等框架2、在百度谷歌等搜索引擎直接搜索cms,可以通过搜索到的cms名称再去搜对应的官网或者github上的源码3、在一些cms指纹识别的字典库中有cms的指纹,看到自己细化的cms名称再去搜github或者官网找
回答于 2021-09-30 17:10