漏洞挖掘思路
原创2025年3月2日小于 1 分钟
漏洞挖掘思路
大厂SRC严重漏洞的特点
1.和数据相关
⦁ 核心服务器
⦁ 任意用户
⦁ 越权
大量敏感数据
2.和钱有关
下单过程漏洞
⦁ 0元购
⦁ 支付逻辑漏洞
⦁ 负数刷钱
3.选择大于努力,选择大的厂挖
4.挖洞的点
⦁ 突破系统限制的
⦁ 对业务对企业有利益危害的
5.白帽子思维
白帽子要有模拟坏人地思维
⦁ 不按要求输入
⦁ 喜欢跳过流程/程序
⦁ 对程序错误敏感
说明程序员在设计时候有考虑不周
⦁ 交叉结合
多个漏洞结合利用
⦁ 持续学习
对新技术学习 新业务上线漏洞最多
6.挖洞没有思路怎么办
⦁ 起来走走,思考思考
⦁ 看别人的挖洞视频/文章锻炼思维
⦁ 脑袋中带着可疑点思考
走路、跑步时候多思考
7.漏洞一直存在,只是没有被发现
坚信有输入的地方就会有漏洞