前言: SRC漏洞挖掘是现代互联网安全领域的一个重要分支,是许多企业和组织确保其软件和数据安全性的必要手段。虽然SRC漏洞挖掘看上去很高级,但其实它所涉及的一些基础知识和工具都是可以学习和掌握的。今天,我们就来学习一下SRC漏洞挖掘的基础知识、流程和方法。第一部分:SRC漏洞挖掘的基础知识 1. 什么是SRC? SRC是指软件漏洞报告计划(Software Vulnerability Report
转载
2023-09-04 13:25:22
95阅读
expcode.com主要收集发布每天国内外各种程序bug的exploits,简单一点说也就是各种程序bug的利用方式或者代码!expcode属个人网站,所以能力有限,我不能使网站100%完美,如果你对网站服务有任何的不满意或好的建议可以联系cn.tink(cntink@gmail.com).
呵呵,今天不知道怎么回事访问不了。郁闷。
转载
精选
2006-08-18 13:35:12
1484阅读
靶场考察点1.Jenkis平台的漏洞利用Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成 2.contrab提权在LINUX系统中的/etc/contrab文件存放着系统定时任务, 若该文件的某些定时任务指定由root用户执行, 那么这将是一个可提权点 3.登录爆破使用burpsuite对网站
转载
2024-03-14 19:39:50
74阅读
前言记录一次完整的某SRC漏洞挖掘实战,为期一个多星期。文章有点长,请耐心看完,记录了完整的SRC漏洞挖掘实战渗透过程因为选择的幸运儿没有对测试范围进行规划,所以此次范围就是没有范围。先上主域名看一眼,看看能收集到什么有效信息:发现存在搜索框:测试点+1对页面点点点没发现什么有用的页面。抓包看看,发现网站搭建了CDN,还有特殊文件:难度+1,信息+1谷歌一下,Sitecore是CMS,如果能确定这
开源src镜像:http://download.savannah.gnu.org/releases/
转载
2015-06-07 21:17:00
154阅读
2评论
https://security.alibaba.com/
原创
2022-10-12 00:18:58
197阅读
https://security.ke.com/vuls
原创
2022-10-12 00:17:48
146阅读
# Java开源漏洞扫描
随着互联网的快速发展,网络安全问题变得越来越突出。在Java开发中,由于开源组件的使用广泛,因此开源漏洞扫描成为了一项非常重要的工作。开发人员需要及时了解和修复潜在的安全漏洞,以保障系统的安全性和稳定性。
## 什么是开源漏洞扫描
开源漏洞扫描是指利用自动化工具来检测开源组件中的潜在漏洞。这些漏洞可能是由于代码缺陷、不安全的编程实践或者第三方库本身存在的问题造成的。
原创
2024-05-03 06:21:30
57阅读
目录一、序列化和反序列化序列化用途二、Java反序列化漏洞数据出现函数接口漏洞发现漏洞利用三、Java序列化反序列化演示四、靶场演示一、序列化和反序列化序列化 把 Java 对象转换为字节序列(字节流)的过程。反序列化 &n
转载
2023-07-19 22:41:28
162阅读
一、概念介绍 安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。说白了,就是连接白帽子和企业的平台,你去合法提交漏洞给他们,他们给你赏金。 目前国内有两种平台,一种是漏洞报告平台,另一种就是企业SRC,这里也给大家强调一下,一定不要非法挖洞,要注意挖洞尺度和目标要有授权!做一个遵纪守法的好公民! 第三方报
原创
2022-02-03 14:02:42
10000+阅读
点赞
http://security.safedog.cn/report.html
原创
2022-10-12 00:12:16
86阅读
http://www.butian.net/Loo/submit
原创
2022-10-12 00:18:04
64阅读
https://security.360.cn/Report/index
原创
2022-10-12 00:19:09
61阅读
OSCS(开源软件供应链安全社区)致力于让每一个开源项目变的更安全,也帮助每一个开发者更安全的使用开源代码。 漏洞详情
6月15日,OSCS 社区监控到开源数据标注平台 Label Studio 存在 SSRF(服务端请求伪造)漏洞,攻击者可利用该漏洞进行内网扫描甚至访问内部系统数据。目前 Facebook、IBM、Intel 等公司均有使用此开源项目。
漏洞复现:
更多
原创
2022-06-23 20:54:58
303阅读
最近在挖各大src,主要以逻辑漏洞为主,想着总结一下我所知道的一些逻辑漏洞分享一下以及举部分实际的案例展示一下,方便大家理解。 主要从两个方面看,业务方面与漏洞方面。(接下来就从拿到网站的挖掘步骤进行逐一介绍各个逻辑漏洞) 一 、业务 注册: 1.短信轰炸/验证码安全问题/密码爆破/邮箱轰炸 上面这
原创
2021-05-27 09:17:14
1594阅读
有些事说出来显得我不大度,但我确实不开心,如果你不懂我,那错的都是我。。。
转载
2021-07-05 16:20:36
1012阅读
一、挖掘的前期–信息收集虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑(重要的可能就是思路猥琐一点),这些的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现。接下来我就着重说一下我在信息收集方面的心得。
转载
2022-12-27 14:17:55
575阅读
