前言:
今天又没有看课,面试,挖到洞
正题:
漏洞挖掘,累了,困了
内存马处置今天没有搞,搞了一天的漏洞挖掘,今天的收获就是自己思考了一个站点的漏洞挖掘
然后漏洞是没有挖到
面试什么也没搞累了,困了/
缺点是没有就是写起来,等下明天又忘记了
优点就是自己思考漏洞挖掘了,挖业务逻辑漏洞
但是自己就是没有学习,没有将学习的漏洞利用起来,就是ai说有漏洞,我又不能理解有啥漏洞
对了就是今天没有学习,就是自己思考
但是自己就是今天让ai循环挖洞了,但是有点进展,累了
然后明天就是学习新的东西,然后就去利用,可以就这样
然后面试的话,就是累了,没复习,说好今天就是模拟内存马的,等下吧
然后就是我现在就是看几篇漏洞文章吧,分享一下,然后明天就挖这些
今天就是看文章,学习的核心目的就是举一反三,不然学习别人的思路就只能吃剩下的了,
没有了
今天看了一个越权就是修改手机号的案例,然后就是这样
就是没有做鉴权
手机号和验证码绑定,手机号也没有和当前用户绑定,导致可以修改别人的手机号
直接就是危害升级了,全站的用户都登录不了,我去直接严重我去
我今天学习的漏洞,思考的有哪些
就是前后端分离,直接打后端了,但是没有找到后端,累了,就是找到了用户名弱口令,返回了token,估计是管理员的token,但是这个又没有就是前端我去,又没有前端,我让这个ai就是访问接口,这个token就是访问不了,不知道如何使用,也不知道前端在哪
思考
明天重新让ai根据就是源码,重新利用这个token
找其他域名,利用这个token
找三级域名,利用这个token
,最坏情况,直接交这个token,反正我也不知道咋用,交了再说
然后就是我想睡觉,今天有点困,不知道为啥
今天还有个漏洞没交,算了,明天授权继续找
今天这个小程序,明天再打一i下,就测试其他小程序,真的不会漏洞真的很难,会挖点漏洞吧
学习明天挖漏洞
然后真的转app挖掘了,不对我先就是交个客户端漏洞,再去学习app漏洞,用ai学习,总是要学习的
睡觉了各位