首页
学习
活动
专区
工具
TVP
发布

我是怎么找到通用漏洞的

本文作者:少年英雄宋人头

本周的某一天,夜班闲着没事干,就在漏洞盒子提漏洞玩(具体细节,不详细说明)

1.最开始,找到一个网站,发现存在SQL注入漏洞

2.然后随便点进去一个模块,发现网站页面域名发生了跳转,直觉告诉我,这波操作一定存在问题。果然,在页面的最底端,发现了某家公司的名字,这应该就是开发商。

3.找到了潜在的开发商,第一反应就是,是不是存在通用漏洞,就先用goole语法试着搜了一下,果然,找到了20条相似的链接,对找到的结果进行测试。发现,这些网站基本上长得都差不多,而且,最重要的是,注入点都是一样的,索性直接就跑了一波SQLMap,收集了5个网站的注入点以及数据库表信息,准备提交CNVD。

4.因为提交CNVD,需要提供厂商信息,所以就先在百度搜了一下这个公司,是深圳的一个公司,所属行业为软件和信息技术服务业

5.到官网看了一下,发现存在注入的产品是他家的一个相亲产品,找到相关产品信息,就可以去CNVD上提交漏洞了

6.一定要记得,把漏洞所属类型,改为通用型漏洞,我第一次忘记改了,还好被CNVD的老师发现并驳回了,才有从头再来的机会

7.审核成功后,就会归档,一般通用型漏洞审核的都比较慢,但是给的积分会比较高,如果漏洞级别高的话,归档之后会颁发原创漏洞证明(我这个不知道会不会给,还得看最后的评估结果)。

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200210A04AEM00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券