本文作者:少年英雄宋人头

本周的某一天,夜班闲着没事干,就在漏洞盒子提漏洞玩(具体细节,不详细说明)

1.最开始,找到一个网站,发现存在SQL注入漏洞

2.然后随便点进去一个模块,发现网站页面域名发生了跳转,直觉告诉我,这波操作一定存在问题。果然,在页面的最底端,发现了某家公司的名字,这应该就是开发商。

3.找到了潜在的开发商,第一反应就是,是不是存在通用漏洞,就先用goole语法试着搜了一下,果然,找到了20条相似的链接,对找到的结果进行测试。发现,这些网站基本上长得都差不多,而且,最重要的是,注入点都是一样的,索性直接就跑了一波SQLMap,收集了5个网站的注入点以及数据库表信息,准备提交CNVD。

4.因为提交CNVD,需要提供厂商信息,所以就先在百度搜了一下这个公司,是深圳的一个公司,所属行业为软件和信息技术服务业

5.到官网看了一下,发现存在注入的产品是他家的一个相亲产品,找到相关产品信息,就可以去CNVD上提交漏洞了

6.一定要记得,把漏洞所属类型,改为通用型漏洞,我第一次忘记改了,还好被CNVD的老师发现并驳回了,才有从头再来的机会

7.审核成功后,就会归档,一般通用型漏洞审核的都比较慢,但是给的积分会比较高,如果漏洞级别高的话,归档之后会颁发原创漏洞证明(我这个不知道会不会给,还得看最后的评估结果)。

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com

我是怎么找到通用漏洞的相关推荐

  1. 记一次CNVD通用漏洞审计

    本文转载于:https://www.freebuf.com/articles/web/290697.html 0x01 前言 写这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低 ...

  2. CVE(Common Vulnerabilities and Exposures通用漏洞披露)笔记

    产生背景:目前实时入侵检测和漏洞扫描评估基于的主要方法还是"已知入侵手法检测"和"已知漏洞扫描",即基于知识库的技术,因此决定一个IDnA(Intrusion ...

  3. 自学python能找到工作吗-自学 Python,我是如何找到工作的?

    原标题:自学 Python,我是如何找到工作的? 先交代一下自己的情况,非计算机科班出身,本科机械,会一点C/C++,没怎么写过代码,最大的程序可能就一二百行,没算法/数据结构基础. 多年前一心想往机 ...

  4. 通用漏洞评分系统 (CVSS)系统入门指南

    通用漏洞评分系统 (CVSS) 是一个公共框架 ,用于评估软件中安全漏洞的严重性.这是一个中立的评分系统,让所有企业能够使用相同的评分框架对各种软件产品(从操作系统.数据库再到 Web 应用程序)的 ...

  5. 我是怎么找到电子书的

    title: 我是怎么找到电子书的 data: 2018-9-9 tags: [电子书,经验,搜索,Seule] categories: [高效率生活,技巧] grammar_cjkRuby: tru ...

  6. 通用漏洞评估方法CVSS3.0介绍

    CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布.FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络 ...

  7. 通用漏洞评估方法CVSS3.0详解

    CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布.FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络 ...

  8. 我是怎么找到第一份实习的

    我是怎么找到第一份实习的,很多人问我这个问题,其实在之前我的一篇文章里,谈过自己是如何找到第一份正式实习的. 但我的经历具有个体的独特性,可能对一些同学来说,参考意义不大.因此,我做了这样一件事情,问 ...

  9. WEB攻防-通用漏洞水平垂直越权购买逻辑漏洞

    目录 水平垂直越权 水平越权 垂直越权 访问控制原理 漏洞判别 防护 购买逻辑漏洞 知识点 详细介绍 防护 案例演示-优惠券 案例演示-CMS-订单修改 水平垂直越权 水平越权 同级用户权限共享--- ...

最新文章

  1. 姿态估计开源项目汇总
  2. R语言绘图-常用参数
  3. struts2 标签问题----escape=false 这个属性
  4. CSS实现强制换行-------Day 78
  5. Grpc+Grpc Gateway实践一 介绍与环境安装
  6. 自动刷新获取wifi信号强度,android
  7. python二维散点分布图_深入理解皮尔逊相关系数amp;python代码
  8. P2167 [SDOI2009]Bill的挑战
  9. jquery表单验证
  10. jrebel(破解版)+eclipse +jetty/tomcat 配置,实现热部署
  11. Spring:aspectj-autoproxy 简介
  12. python单元格内换行_Python Pandas可防止单元格中的换行符
  13. Zookeeper+Kafka集群搭建
  14. java dental chart,DentalChart Backup Utility
  15. 洗头 Wet Hair
  16. 设计一些自学软件的小测试demo吧。
  17. i78700k配什么显卡好_2K分辨率极致吃鸡 i7-8700K配GTX1070Ti吃鸡配置推荐 (全文)
  18. 羽绒枕头行业调研报告 - 市场现状分析与发展前景预测(2021-2027年)
  19. 算24(递归)--算法学习
  20. 怎么视频转文字?分享3个视频转文字方法

热门文章

  1. Promise讲解,async和await修饰符
  2. 宝贝计划 古天乐蔡卓妍经典对白
  3. 悬镜安全:用开源的方式做开源风险治理
  4. 图片加载失败或默认图片
  5. js中 json对象的转化 JSON.parse()
  6. 3000W,三个yahoo广告大片,找了3个“大导演”拍的!中国的最“高”水平了,看了吐死你,不看后悔死你!...
  7. 用Python群发邮件,含附件、excel内容读取,收件人列表读取等
  8. 交换机启用光口命令_交换机常用命令
  9. 「团队管理」培养下属的方法
  10. 修改数据库 [MySQL][数据库]