挖不到漏洞的原因有什么


发现错别字 8个月前 提问
回答
1
浏览
170
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
回答数量: 1
等保中级测评师 CICSA

原因是多方面的:
1、找漏洞最必要的还是批量,借助工具,借助谷歌。批量可以节省你大部分的时间。
2、挖掘漏洞一定要有一个可以产生漏洞的条件首先一定要看脚本语言,症下药查看可目录变量是否存在那种脚本上传漏洞。

4、多学习,多练习。多尝试。对于基础薄弱的人来说,一般都是从 XSS、SQL 注入等简单的漏洞研究入门的。除了了解各种相关的术语,还需要对于 Web 应用要有一个基本的认识。在这的基础上,对于 HTML、JavaScript 要有基础的了解和使用,它们是 Web 应用架构中最重要的基础元素。其直接运行在浏览器上,渲染出网页。随后,便需要进一步了解 Web 应用的数据是如何通讯的——输入及输出。

对于基础较强的人来说,理论必结合实践,不断摸索尝试,例如遇到常规漏洞都没有的情况下,那么可以考虑从逻辑漏洞下手,逻辑漏洞情况多种多样,实践的多了,再拿到一个授权的测试站点,你就会潜意识知道到漏洞的存在点。渗透起来就会得心应手,而且逻辑漏洞不会很难,如遇程序设计的缺陷我们就可以逆向猜测程序员开发程序的逻辑结构从而找到漏洞,且只需要一个抓包工具,你就可以进行对数据包的分析与测试。

常规漏洞:
1.任意用户注册/密码找回
2.逻辑越权漏洞
3.支付逻辑漏洞
4.逻辑设计缺陷漏洞

回答所涉及的环境:联想天逸510S、Windows 10。

8个月前 / 评论