免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
EDUSRC已经持续了6年,一些常见好挖的漏洞已经越来越少了,上一篇文章也说到,信息收集很重要,收集的资产越多出现漏洞的几率也会增高,当然如果有通用漏洞除外,如果手里有一些源码建议审计一下通用的漏洞,这样漏洞积分会来的快些。
刚好在3月份的时候,我这边得到一份源码进行了审计。前期还是用foftify工具扫描方便点,然后人工配合审计。
在源码中发现了一个url存在注入的点,然后我这边找了几个资产进行了测试,发现都存在注入,然后就批量跑了一波,把漏洞都提交给edu审核修复了。
最终提交了二十几个中危
漏洞积少成多,慢慢来不着急
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
原文始发于微信公众号(极与黑):EDUSRC漏洞批量挖掘思路分享
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论