求大佬指教,新手应该怎么入门漏洞挖掘,我现在只会简单的使用BurpSuite爆破

请先 登录 后评论

8 个回答

空城 - 安全小菜鸡

1、熟悉渗透测试流程,从信息收集开始做起。可以使用工具,但是不要完全依赖工具,以信息收集为例,可以使用挖掘机、subdomain等成熟工具,但是也要熟悉google语法,手动的取收集。同时也可以自己编写一些py脚本,增强自己的了解

2、搭建靶场测试环境,在靶场中了解owsap top 10的漏洞和原理

3、实战、一定要实战。刚开始无从下手的话,可以先信息收集完,放到扫描器里跑一下,看看有没有自己熟悉的漏洞,哈哈。实战是检验水平的唯一标准

4、SRC、众测搞起来,提升能力不说,还能交往一波铁子们,做的好的化还有一定的收入、礼品哦

请先 登录 后评论
J0J0Xsec

1.信息收集,挖洞一般挖子站和C段,会利用各大搜索引擎,FOFA好用一些

2.熟悉各种漏洞的利用方法

3.黑盒比白盒难,所以前期可以黑盒挖洞,后期就得白盒审计了,PHP和JAVA

4.python批量写POC

请先 登录 后评论
海蜇王

建议先学PHP基本语法,打好编程基础,可以尝试着自己写一些demo,然后多看看别的大佬写的漏洞分析文章,好的文章分析都比较全面,来自同样一个新手的叨叨,说错勿喷~

请先 登录 后评论
和风

我认为最重要的是先提升技术,如果什么都不懂就开始挖的话,就会寸步难行,多看点培训的视频,现在网上都有很多技术视频可以学习,慢慢来,总有一天会变强的

请先 登录 后评论
Ryan

先学习网络  知识,然后学习Web漏洞的原理和点,然后可以尝试学习代码知识现在很多靶场然后就可以在靶场里面实践,慢慢的循环渐进

请先 登录 后评论
Colorado

信息收集开始吧,如果你已经会 各大漏洞的原理,有了基础,可以适当的专研一下信息收集,如果你没有基础,原理还不是很熟悉,就应该学习原理,打靶场进行巩固,加深对原理的印象,这样是最好的,其次的代码能力是你后面的事情了,学无止境。

请先 登录 后评论
金蝉子

初学者建议先看视频和看书,并且有空就去各大论坛去看些文章,学点新方法,扩展攻击面,之后搭建靶场练习,比如owasp,pikachu等,熟悉使用sqlmap等工具,再开始学习编程,如果学不会,那大概也要了解,起码得看得懂,之后可以先去试试edu,渐渐的熟悉挖洞技巧

请先 登录 后评论
冰幽
条件比较好的可以参加一些培训(注意不要被坑),有体系的学习最好,条件一般的话就多看看视频看看书,像B站里的一些免费的视频好多也是不错的,我个人觉得书的效果没有视频好,多实践多操作,多打靶场,DVWA,sqli,pikachu等,还是最好买本书,比如《白帽子讲web》之类的,CTFer的话,《CTF从0到1》我觉得蛮不错的。建议以视频为主,书为辅。自学跟培训其实也不差啥,只要肯学。
请先 登录 后评论