网络安全学习130天

前言:

今天又没有看课,面试,挖到洞

正题:

漏洞挖掘,累了,困了

内存马处置今天没有搞,搞了一天的漏洞挖掘,今天的收获就是自己思考了一个站点的漏洞挖掘

然后漏洞是没有挖到

面试什么也没搞累了,困了/

缺点是没有就是写起来,等下明天又忘记了

优点就是自己思考漏洞挖掘了,挖业务逻辑漏洞

但是自己就是没有学习,没有将学习的漏洞利用起来,就是ai说有漏洞,我又不能理解有啥漏洞

对了就是今天没有学习,就是自己思考

但是自己就是今天让ai循环挖洞了,但是有点进展,累了

然后明天就是学习新的东西,然后就去利用,可以就这样

然后面试的话,就是累了,没复习,说好今天就是模拟内存马的,等下吧

然后就是我现在就是看几篇漏洞文章吧,分享一下,然后明天就挖这些

今天就是看文章,学习的核心目的就是举一反三,不然学习别人的思路就只能吃剩下的了,

没有了

今天看了一个越权就是修改手机号的案例,然后就是这样

就是没有做鉴权

手机号和验证码绑定,手机号也没有和当前用户绑定,导致可以修改别人的手机号

直接就是危害升级了,全站的用户都登录不了,我去直接严重我去

我今天学习的漏洞,思考的有哪些

就是前后端分离,直接打后端了,但是没有找到后端,累了,就是找到了用户名弱口令,返回了token,估计是管理员的token,但是这个又没有就是前端我去,又没有前端,我让这个ai就是访问接口,这个token就是访问不了,不知道如何使用,也不知道前端在哪

思考

明天重新让ai根据就是源码,重新利用这个token

找其他域名,利用这个token

找三级域名,利用这个token

,最坏情况,直接交这个token,反正我也不知道咋用,交了再说

然后就是我想睡觉,今天有点困,不知道为啥

今天还有个漏洞没交,算了,明天授权继续找

今天这个小程序,明天再打一i下,就测试其他小程序,真的不会漏洞真的很难,会挖点漏洞吧

学习明天挖漏洞

然后真的转app挖掘了,不对我先就是交个客户端漏洞,再去学习app漏洞,用ai学习,总是要学习的

睡觉了各位