长亭百川云 - 文章详情

北山学院直播:常年霸榜企业SRC,提升挖洞效率的秘诀是什么

FreeBuf网络安全行业门户

32

2024-07-26

北山学院直播:常年霸榜企业SRC,提升挖洞效率的秘诀是什么

文末免费领取漏洞案例

大家好,我是北山学院的讲师老谢。前段时间,有师傅问我怎么快速挖反射XSS,于是就有下面的聊天。

我寻思,如果有一个工具,能够帮大家快速找到站点中的所有参数,这样就能大大提升挖掘漏洞的效率。

于是,我就开始着手开发一个这样的插件,也就是【玫瑰系列1-参数发现】。这个工具可以快速提取站点所有参数和参数值,帮助大家高效地找到潜在的漏洞点和XSS注入点。白帽子们在进行安全测试时,不会被遗漏任何一个参数,快速找到可能存在的漏洞点。

不过,挖洞的过程中,仅仅找到参数还是不够的。还有很多师傅反映,在挖站点时,往往只能看到表面上的东西,许多隐藏的域名和子域名根本无法发现。这让我想到,如果能开发一个工具,专门用于发现隐藏的域名,那岂不是能开辟一个新的挖掘方向?

于是,我又开发了【玫瑰系列2-域名发现】插件。这个工具可以帮助你发现站点中隐藏的域名,并一次性提取出来。比如在xxx.com站点上挖不到东西时,可以用这个插件查看是否存在test.xxx.com或者其他子域名,这样往往就能发现新大陆,找到更多的挖掘点。

顺着这个思路,结合我自己的挖洞经历,挖掘过程中常常会碰到各种敏感信息,我想这些信息如果能够被精准提取出来,对发现漏洞和提升安全性会有很大帮助。于是,【玫瑰系列3-敏感信息提取】插件也应运而生。这个工具可以帮助你快速定位并提取站点中的敏感信息,进一步提高挖洞的效率和效果。

所以,《玫瑰家族系列》工具怎么帮你快速找到挖洞突破口?

1.  参数发现:可以快速提取站点所有参数和参数值,帮你高效找到漏洞点和XSS。

2.  域名发现:可以发现隐藏的域名,一次性提取,帮你打开新世界的大门。

3.  敏感信息提取:精准定位敏感信息,挖掘潜在漏洞,一键搞定。

为了让师傅们更了解这个工具,我决定在知识大陆视频号上搞一场直播,给大家详细介绍这些工具,怎么用这些工具快速找到突破口,还有最近****迭代的2.0版本新功能也会在直播间里介绍演示一遍,师傅们可以期待一下。这场直播干货有很多,看了肯定有收获,来看直播的师傅们最好带上小本本。

在挖洞时经常碰壁怎么办?试遍了所有工具都没用?

这次直播或许能解决你的疑惑

扫下方二维码,预约直播

直播嘉宾:老谢

● 7年信息安全领域人员

● 前XX公司安全研究人员

● 北山学院SRC安全讲师之一

● 在国际漏洞平台提交过多个漏洞

● 在国内多家企业SRC等提交过多个漏洞

● File-leakage、玫瑰系列的工具作者

● 多次参与国、省级政府攻防演练防守方

● 擅长红蓝对抗、漏洞挖掘等领域

没有时间看直播的师傅Look这里

可以加入帮会,所有工具包括后续迭代的都会在帮会里发布

加入方式:

1):点击链接 镜花水月 - 发现更有料的网安圈 (freebuf.com)

2):扫下方二维码

20个漏洞案例等你拿

进交流群,免费领取20个漏洞案例

扫下方二维码,vivi拉你进群

PS:加好友请备注【老谢】

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2