返回首页

学了6个月渗透测试挖不到洞怎么办?

265 2023-12-18 09:58 admin

旁友,你挖漏洞的清单是不是这样的:暴力破解漏洞sql注入漏洞命令执行漏洞xss漏洞(跨站脚本)csrf漏洞(跨站伪造请求)xxe漏洞文件上传漏洞文件包含漏洞各cms的公开漏洞当然肯定也有一些没有写到的。如果是一个大佬的漏洞清单,除了上面那些,还有以下这几项:逻辑漏洞ssrf漏洞信息泄露 js文件可能存在的未授权访问 组合漏洞 …… 然而这些也只是一部分...

上面的web渗透你搞懂了之后就可以进行后渗透,也就是持续控制进行内网横向渗透,因为web渗透可能不是你的最终目的,这时候你就得掌握相关系统层面漏洞,比如ms17-010永恒之蓝等各种微软ms漏洞。

想要进一步强化自己的话,kali Linux是一个很好的学习平台,比如它的metasploit平台可以学习很多直接攻击手段,上面集成了很多攻击工具,这些工具就够你玩一辈子了(当然互联网日益更新,kali也在持续优化)。多看、多记、多思考,最主要的是多喝身边的人讨教讨论,当你所了解的漏洞越来越多,记了大量笔记,再结合实战把所学所看融会贯通。这样才是实打实的锻炼自己的挖洞能力,和效率。看到新的漏洞多去搭建环境复现,这是对能力的一种提升。

https://xg.zhihu.com/plugin/314f1280995e12e707fef350916907a3?BIZ=ECOMMERCE
顶一下
(0)
0%
踩一下
(0)
0%
相关评论
我要评论
用户名: 验证码:点击我更换图片

网站地图 (共14个专题15997篇文章)

返回首页