第一次用漏洞盒子，不知道该干什么(关键词-漏洞挖掘)

关注 码龄 粉丝数 原力等级 -- 被采纳 被点赞 采纳率 2301_78841487 2024-03-19 22:41

采纳率: 89.3%

浏览 164 首页

网络

已结题 第一次用漏洞盒子，不知道该干什么(关键词-漏洞挖掘) 网络安全 大体学完了漏洞挖掘的基本理论，想在漏洞盒子上实战。报名了专属src，接下来应该怎么做？

收起

写回答

好问题

0 提建议

关注问题

微信扫一扫 点击复制链接 分享 邀请回答

编辑 收藏 删除 收藏 举报 结题 再想想 删除 再等等 1条回答 默认 最新 关注 码龄 粉丝数 原力等级 -- 被采纳 被点赞 采纳率 码农阿豪@新空间 Java领域优质创作者 2024-03-19 22:42 关注 让阿豪来帮你解答，本回答参考chatgpt3.5编写提供，如果还有疑问可以评论或留言回答：

熟悉SRC平台 首先，需要熟悉漏洞盒子SRC平台的使用，包括如何提交漏洞，如何查看已提交漏洞的状态，如何和厂商进行沟通等等。可以在漏洞盒子SRC平台的帮助文档中了解这些操作。选择目标厂商/产品 其次，需要选择目标厂商/产品进行漏洞挖掘。可以根据自己的兴趣和技术背景来选择，也可以参考漏洞盒子SRC平台中的目标厂商/产品列表。寻找漏洞 在选择了目标厂商/产品之后，需要开始寻找漏洞。可以采用静态分析、动态分析、Fuzzing等方法来寻找漏洞。具体可以参考各种漏洞挖掘的技术书籍或者在线教程。提交漏洞 如果找到了漏洞，需要及时提交给漏洞盒子SRC平台。在提交漏洞的时候，需要提供漏洞的详细描述、影响范围、利用方式等信息。提交后，漏洞盒子的安全团队将会对漏洞进行审核，并将漏洞报告给厂商。跟进漏洞状态 提交漏洞后，需要及时跟进漏洞的状态。如果漏洞被厂商确认并修复，漏洞盒子会给出相应的奖励。如果漏洞被拒绝或者取得不了回应，可以尝试和漏洞盒子的安全团队联系，获取更多信息。 案例： 以百度网盘为例，如果想在漏洞盒子SRC平台上挖掘百度网盘的漏洞，可以按照以下步骤进行操作：熟悉SRC平台：在漏洞盒子上注册账号，并熟悉SRC平台的操作。选择目标厂商/产品：选择百度网盘作为目标厂商/产品。寻找漏洞：可以通过静态分析和动态分析，使用Fiddler等工具来寻找百度网盘的漏洞。提交漏洞：如果找到了漏洞，可以在漏洞盒子上提交漏洞，并提供详细的文档描述和截图等信息。跟进漏洞状态：等待漏洞盒子安全团队对漏洞进行审核，如果漏洞被确认并修复，可以获得相应的奖励。如果漏洞被拒绝，可以联系漏洞盒子的安全团队获取更多信息。 代码： 以下是使用Fiddler来寻找百度网盘漏洞的示例代码：安装Fiddler，并打开Fiddler。进入百度网盘，并抓取页面请求到Fiddler。在Fiddler中，选中需要测试的请求，右键选择“Repeat Request”进行重放，查看是否存在安全漏洞。例如，可以修改POST请求参数，查看是否可以绕过权限。如果发现漏洞，则可以将漏洞信息记录下来，然后在漏洞盒子SRC平台上提交漏洞。

本回答被题主选为最佳回答 , 对您是否有帮助呢? 本回答被专家选为最佳回答 , 对您是否有帮助呢? 本回答被题主和专家选为最佳回答 , 对您是否有帮助呢?

解决

无用

1 评论

打赏

微信扫一扫 点击复制链接 分享 举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(0条)

向“C知道”追问

报告相同问题？

提交

关注问题

删除 再等等 再想想 采纳 绝对干货！src漏洞挖掘经验分享 2021-07-16 12:49 是叶十三的博客 公益src是一个白帽子提交随机发现的漏洞的品台，我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。 在挖掘src的时候不能越红线，一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可，... 超级干货！SRC漏洞挖掘项目实战经验分享 2024-08-13 10:40 爱吃小石榴16的博客 SRC漏洞挖掘是一项非常重要的工作，它可以帮助软件开发者和系统管理员找出存在的漏洞并及时修复，以保障系统的安全性和稳定性。SRC漏洞挖掘需要掌握一定的安全技能和知识，包括但不限于代码审计、漏洞分析、渗透测试... 一个漏洞2w+，网安副业挖SRC漏洞，躺着把钱挣了！挖漏洞平均一天收入多少？ 2025-03-31 16:45 程序员七海的博客 综合性平台有补天、漏洞盒子、CNVD等等，独家SRC也有很多，比如华为、阿里、腾讯、360等。国外的漏洞也可以去挖，奖金更高。一般挖几个月就能找到门道，UP在接私活的第二年就赚了6万多。我行你也行！2025年，助大家... 超级干货！SRC漏洞挖掘项目实战经验分享_src实战挖掘 2025-02-25 14:33 狂野帅哥的博客 SRC漏洞挖掘是一项非常重要的工作，它可以帮助软件开发者和系统管理员找出存在的漏洞并及时修复，以保障系统的安全性和稳定性。SRC漏洞挖掘需要掌握一定的安全技能和知识，包括但不限于代码审计、漏洞分析、渗透测试... 一个漏洞两千块，网安副业挖SRC漏洞，躺着把钱挣了！挖漏洞平均一天收入多少？ 2025-04-16 17:00 程序员七海的博客 综合性平台有补天、漏洞盒子、CNVD等等，独家SRC也有很多，比如华为、阿里、腾讯、360等。国外的漏洞也可以去挖，奖金更高。一般挖几个月就能找到门道，UP在接私活的第二年就赚了6万多。我行你也行！2025年，助大家... （干货）SRC漏洞挖掘项目实战经验分享 2024-05-28 15:44 黑客-小千的博客 分享一些SRC漏洞挖掘项目实战经验 漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程（非常详细）零基础入门到精通，收藏这一篇就够了 2024-07-23 14:31 程序员七海的博客 作为一个职业又非职业性的漏洞挖掘者，除工作内做渗透和挖洞，其它挖洞基本上都是为了写公众号，并没有很专注的去了解职业SRC，清晰的记得有一次，挖到的一个在线商城漏洞，根据特征找到了存活站点一千多个，独立IP... 【Web安全】小白怎么快速挖到第一个漏洞，src漏洞挖掘经验分享，绝对干货！ 2023-09-25 17:45 Jinmindong的博客 【Web安全】小白怎么快速挖到第一个漏洞，src漏洞挖掘经验分享，绝对干货！ 分享最近一次渗透测试岗位面试经验，2025网络安全应届生、春招面试必看教程！ 2025-03-31 16:48 编程瞬息全宇宙的博客 下面呢主要是给师傅们分享自己一、二面面试的经验和面试题，以文字的形式给大家展示一下（可能有些地方描述和解答的不是很正确，希望大佬们勿喷！通过邮箱联系，然后安排时间腾讯会议面试目前到二面了，从投递简历到... 保姆级别的挖漏洞教程，零基础入门到精通，收藏这一篇就够了 2025-03-07 19:45 网安导师小李的博客 内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…制胜点就在这里了，比如你交了一个中危的漏洞是...

没有解决我的问题,

去提问