Bug Bounty Tips(2022-04-11)

渗透技巧 3年前 (2022) admin
688 0 0

 

 


 

Tips 1:

某个大佬的挖洞过程详细姿势

1. Shodan ssl:"Company Inc"2. IP Apache Tomcat default Page 3. Wait, and use ffuf 4. Login page in /examples/jsp/security/protected/index.jsp5. Default Credentials Then there is Input area Vulnerable for Reflected XSS - 2*1

 


 

Tips 2:

老外写的XSS扫描器,自述说有用并且挖到了漏洞,但是看了下代码,感觉还是写的略粗糙,只适用于无WAF等安全设备厂商。XRAY才是XSS扫描器最强,没有之一,不接受反驳。那个广告费啥时候结下 🙂

Bug Bounty Tips(2022-04-11)

link:

https://github.com/Stonzyy/dumpxss

 


 

Tip 3:

 

Fast golang web crawler for gathering URLs and JavaSript file locations. This is basically a simple implementation of the awesome Gocolly library.

 

hakrawler,一个收集URL和js文件位置的爬虫,从star的数量来看,目测是一个非常成熟的项目了,可以一试。

Bug Bounty Tips(2022-04-11)

 

link:

https://github.com/hakluke/hakrawler


 

Tips 4:

Arjun作为一个参数FUZZ的工具,发布了最新版本,针对跳转等一些功能做了优化。

Bug Bounty Tips(2022-04-11)

 

link:

https://github.com/s0md3v/Arjun


 

凑字数鸡汤:

①疫情之后,有囤货的习惯,若干年后子孙绕膝,问爷爷为什么爱囤货,我双眼凝视夜空,语重心长的说,这件事说来话长,你爷爷在和平年代的GDP第一的城市,差点饿死。。。。。。

 

最后三上镇楼,加油加油加油!

Bug Bounty Tips(2022-04-11)

 

原文始发于微信公众号(奔跑在Hackerone的路上):Bug Bounty Tips(2022-04-11)

版权声明:admin 发表于 2022年4月11日 上午8:05。
转载请注明:Bug Bounty Tips(2022-04-11) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...