Bug Bounty Tips(2022-04-11)

2022年4月10日 371点热度 0人点赞 0条评论





Tips 1:

某个大佬的挖洞过程详细姿势

1. Shodan ssl:"Company Inc"2. IP Apache Tomcat default Page 3. Wait, and use ffuf 4. Login page in /examples/jsp/security/protected/index.jsp5. Default Credentials Then there is Input area Vulnerable for Reflected XSS - 2*1




Tips 2:

老外写的XSS扫描器,自述说有用并且挖到了漏洞,但是看了下代码,感觉还是写的略粗糙,只适用于无WAF等安全设备厂商。XRAY才是XSS扫描器最强,没有之一,不接受反驳。那个广告费啥时候结下 :)

图片

link:

https://github.com/Stonzyy/dumpxss



Tip 3:

Fast golang web crawler for gathering URLs and JavaSript file locations. This is basically a simple implementation of the awesome Gocolly library.

hakrawler,一个收集URL和js文件位置的爬虫,从star的数量来看,目测是一个非常成熟的项目了,可以一试。

图片

link:

https://github.com/hakluke/hakrawler


Tips 4:

Arjun作为一个参数FUZZ的工具,发布了最新版本,针对跳转等一些功能做了优化。

图片

link:

https://github.com/s0md3v/Arjun


凑字数鸡汤:

①疫情之后,有囤货的习惯,若干年后子孙绕膝,问爷爷为什么爱囤货,我双眼凝视夜空,语重心长的说,这件事说来话长,你爷爷在和平年代的GDP第一的城市,差点饿死。。。。。。

最后三上镇楼,加油加油加油!

图片

68310Bug Bounty Tips(2022-04-11)

这个人很懒,什么都没留下

文章评论