【挖洞—信息泄露】骚操作经验分享
常规操作,一般都是dirsearch + URLfinder扫一遍,然后打开报告一个个分析确认。。
那天测试的时候,两个工具一顿骚操作,没发现啥问题,在查到这个路径时,突然发现,这家伙返回200空白页居然有html!
然后还有js,那么URLfinder爬js肯定没爬到这里啦,那么就抱着试一试的心态去跑一遍。。(IP变了因为途中换服务器了)
好家伙!还真有,还真跑出一个信息泄露!!!
总结:以后要结合dirsearch爬出来的可疑页面,需要检查是否有带js了!
常规操作,一般都是dirsearch + URLfinder扫一遍,然后打开报告一个个分析确认。。
那天测试的时候,两个工具一顿骚操作,没发现啥问题,在查到这个路径时,突然发现,这家伙返回200空白页居然有html!
然后还有js,那么URLfinder爬js肯定没爬到这里啦,那么就抱着试一试的心态去跑一遍。。(IP变了因为途中换服务器了)
好家伙!还真有,还真跑出一个信息泄露!!!
总结:以后要结合dirsearch爬出来的可疑页面,需要检查是否有带js了!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 按钮权限的设计及实现
· 25岁的心里话