守则和术语

hacker守则

1. 永远不要相信用户的输入,任何输入数据在证明其无害之前，都是有害的
2. 不在任何场景下谈论hacker
3. 学习时，养成做笔记的好习惯
4. 不谈论所有与hack相关的文章/ 电脑 / 电脑不要说
5. 不使用真名
6. 正在渗透时,离开锁屏或不要离开电脑

挖漏洞(src)守则

守则

1. 都是手挖，不要用扫描器 ,容易扫崩网站,犯法
2. .gov 域名一定不要碰
3. 挖src前,看平台公告
4. 护网时,合同中, 使用的0day不得传播
5. web项目: 如**网安实验室
6. 非法网站不建议打, 网站防护高, 亡命之徒
7. 不建议等保,技术含量低
8. 授权情况下,测试前，一般都要得到授权,不经过授权的测试都是违法的
9. 未授权情况下: 不拿数据, 不搞崩网站, 没有严重的攻击 一般没问题
10. 文件上传漏洞: ,若能解析就停手
11. 文件包含漏洞: /etc/passwd 得到这个目录停手

基础

• 有效信息挖掘

挖掘的用户信息,如姓名 手机号 身份证 地址 邮箱等(该信息要有两个以上)才算漏洞

---

src平台

• 公益src

漏洞盒子

• 非公益src

补天

工具使用守则

• 网站崩溃

信息收集工具/漏洞扫描器....等等工具,不管是主动的还是被动的
跟网站有交互就有可能 会导致网站崩溃

看网站结构承受能力+扫描器扫描次数等...

其他

红队

社工, 近源渗透(危险,需要报备)

hacker修成书籍

推荐书籍与文章：
1.《网站入侵与脚本攻防修炼》
2.《sq注入与防御》
3.Oracle手工注入总结一百度文库
4.sql注入天书
5.web安全书籍
6.《白帽子讲web安全》第八章：PHPCGI路径解析问题
oracle 手工盲注

待更新补充中......