挖漏洞如果不知道这些东西,你挖了也白挖。
龙哥我做12年的白帽子,挖漏洞都是家常便饭了,你看我最近挖的漏洞收入就知道了,今天我就给大家讲讲怎么挖漏洞。
挖漏洞可以去补天、漏洞盒子、CNVD和SRC等等平台,以补天为例,只要在百度上搜关键字“补天”就可以找到官网了。
在项目大厅里就是挖漏洞的地方,这里有专属SRC、企业SRC和公益SRC,它们的共同点就是,你挖出来的漏洞需要先给补天的技术专家初审,初审完成之后再到厂商复审,复审通过之后就会根据漏洞的危险级别给到相对应的赏金。
不同之处就是专属SRC是短期的,过几天你可能就看不到这家公司的漏洞项目了,企业SRC是长期的,基本上常年都会存在,并且可挖掘的漏洞范围更广一些,这两种SRC都是现金奖励。
公益SRC就不是现金奖励了,是库币奖励,1库币差不多是5块钱,不过你不能兑换钱,只能去补天商城去兑换物品,东西还挺多挺实用的。而且公益SRC的漏洞难度相对较小,很适合新手去练技术。
挖漏洞之前一定要搞清楚平台对漏洞的定义,补天的漏洞主要分为事件型漏洞和通用型漏洞2种,事件型就好比某某网站命令执行可被渗透,又或是某某电商订单泄漏任意充值,通用型漏洞指的是第三方软件、应用、系统对应的漏洞,比如PHPCMS的SQL注入等等。
不过有些漏洞在补天是不收的,就像这些,你哪怕挖出来了也白挖,不过漏洞盒子是收的,提前知道就可以规避了。
1.目录遍历2.二进制3.密码处的验证码爆破4.http.sys远程代码执行漏洞5.URL爆出了数据库6.jquery version泄露7.绝对路径泄露8.Slow attack满攻击9.短文件漏洞10.DOS不收
挖漏洞确实是来钱比较多的副业创收,但前提是要把技术学扎实了。
如果你对挖漏洞感兴趣,可以看看我这套视频教程,粉丝都可以无偿分享,里面不仅包含了XSS和SQL注入等漏洞教学,而且还把计算机网络和操作系统等等入门知道也准备齐全了,说白了就是0基础也可以学会。
这些我现在都已经用不上了,如果你想学的话可以去我的公众号“龙哥网络安全”自取就可以了。