安基网 首页 资讯 安全报 查看内容

白帽子“挖掘漏洞”的临界点在哪?

2020-9-10 09:19| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在信息安全的圈子里,充斥着各式各样的人,有的表面正经做授权测试,背地里暗牟不法之财;有的表面是个大佬,会熟练运用各种工具,不过连审计代码都是个问题。当然今天的主题不是吐槽,而是讨论一下公益SRC 如何注意 ...

在信息安全的圈子里,充斥着各式各样的人,有的表面正经做授权测试,背地里暗牟不法之财;有的表面是个大佬,会熟练运用各种工具,不过连审计代码都是个问题。当然今天的主题不是吐槽,而是讨论一下

公益SRC 如何注意尺度问题

平时在漏洞银行,补天,漏洞盒子等平台混迹的我,见过了太多太多因为评级而跟审核员大闹的事情。

自从网络安全法颁布以来。以前盛行的“提权服务器,内网漫游,命令执行”

到现如今只敢提交一句

phpinfo();

?>

作为验证。

包括企业src也是禁止这些敏感操作了。

各个平台漏洞情况

纵观现在公开的公益SRC库

现在交xss 信息泄露 弱口令 目录遍历的漏洞是越来越多。

不过这些漏洞所带来的影响只能是中危。如果你想进一步getshell 数据读取 命令执行这些高危操作的话。那么你就需要熟读网络安全法了。

是一个高危或者超危漏洞重要

还是你的自由更重要?

可别忘了 乌云网的白帽子事件

就我现在挖洞的话,我连SQL注入都不会去挖。

挖一些会员登录逻辑,验证码逻辑,支付逻辑这些没有风险的漏洞,岂不是更好?

对于我来说,自由是第一位。我心中所愿就是

一,不碰任何数据 包括删除 修改 增加等等

二,不登录任何服务器 包括ssh ftp mysql mssql等等敏感容器

三,不为了验证任意文件删除/操作等,去删文件,即使是你自己传的图片,传上去了也是别人服务器里的东西。

不知道各位大佬是否跟我所想一样呢?如果有不一样欢迎留言讨论。我也想看看我所坚持的是否正确!!!



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6870414699284922895/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
极速赛车是杀大赔小吗 极速赛车是哪里开的 彩788彩票计划群 大有彩票开户 彩之家彩票计划群 极速赛车登陆 W彩票计划群 秒速快3 海南4+1 235棋牌