注册    登录
专栏名称: 宸极实验室
『宸极实验室』隶属山东九州信泰信息科技股份有限公司,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。实验室圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
我也要提交微信公众号
今天看啥
微信公众号rss订阅, 微信rss, 稳定的RSS源
目录
相关文章推荐
侠客岛  ·  十四届全国人大三次会议议程,来了 ·  2 天前  
今天看啥  ›  专栏  ›  宸极实验室

『红蓝对抗』某云平台通用型 SQL 注入漏洞挖掘

宸极实验室  · 公众号  ·  · 2024-05-20 17:00
    

文章预览

点击蓝字 关注我们 日期:2024年05月20日 作者:goout 介绍:记一次授权黑盒测试指定目标的任务中,在时间紧张、测试内容量大的情况下,快速打点发现通用型 SQL 注入漏洞的过程。 0x01 任务需求 已知测试目标为某乳业集团有限公司所属资产,自行收集目标信息,测试要求发现中高危漏洞、有实际漏洞危害、输出漏洞汇总、禁止社会工程学渗透等,测试期限较短。 0x02 任务过程 信息收集我就不赘述了,大家都有自己的经验和套路,大概搜索一下资产,条数 1000+ ,独立 ip 个数 150+ ,导出后简单过滤重复数据进行渗透测试。 粗略过滤一遍,发现除企业官网外,其他多为用户登录系统、数据登录系统、签约系统等后台,筛选出 276 个。 多数人拿到后台登录系统的渗透测试思路大概分为以下四点,有其他思路的可以分享下。 (1)账户枚举/密码爆 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览
推荐文章
侠客岛  ·  十四届全国人大三次会议议程,来了
2 天前
辉哥奇谭  ·  总结:为何认知会突飞猛进?
6 月前
关于     ·   Py中国   ·   RSS之家   ·   CodingPro   ·   Code   ·   Link之家   ·   卧龙AI搜索   ·   小百科   ·   51好读   ·   小百科(海外)   ·   Link管理
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号