话不多说先分享一个乌云账号:
改密码的剁jj。谁说话都不好使。
账号sbsbniu@foxmail.com
密码f4f67a99
乌云目前需要邀请码注册帐号:
1)厂商注册请联系 help#wooyun.org;
注:企业沟通前,请提前开通 security@xxx.com 邮箱地址验证与获取邀请码。注册与漏洞报告均为免费,不会收取企业任何费用。
2) 提交漏洞 审核通过后即可获得邀请。
现在未注册用户获得wooyun邀请码有以下两种方式:
1、在WooYun.org | 自由平等开放的漏洞报告平台提交漏洞通过。
2、在WooYun知识库上投稿通过。
以
上两种方式详情可到乌云官方网站了解:WooYun.org | 自由平等开放的漏洞报告平台
想获取乌云邀请码并不难,发现并提交漏洞还是比较容易的,想要在乌云学习的话也可以直接看已公开的漏洞,xss推荐看gainover提交的漏洞:白帽子
信息_gainover,猪猪侠提交的漏洞也推荐看看:白帽子信息_猪猪侠,白盒审计推荐看felixk3y的漏洞:白帽子信息_felixk3y,还有
好多值得观看的漏洞就不一一细说了,另外乌云drops有很多不错的文章 推荐看看:WooYun知识库
1、看看乌云其他人公开的漏洞
2、学习下别人的思路
3、web2.0时代,思路远远大于工具
以下是某知乎用户的回答:
很多计算机爱好者,出于对黑客崇拜,在网上看
了几篇黑客入门文章以后,就开始到处找目标寻找漏洞进行攻击,一般是使用xscan,阿D注入工具之类的工具,这种方法放在几年前还能找到不少SQL注入
漏洞,但这几年要找到这种简单的SQL注入漏洞貌似越来越难了。我猜题主这种事情应该干过不少,可能也找着了几个SQL注入的漏洞,并提交到乌云漏洞平
台,但乌云官方并没有审核通过,所以一直没有拿到邀请码。这里面有几种可能性,一是题主提交的漏洞,别人已经提交过了,题主慢了。二是这些几乎是没有什么
危害的漏洞,被乌云忽略了。题主现在需要乌云邀请码来证明自己给别人看,这个别人主要是题主未来的面试官以及现在的同学。
获得乌云邀请码这也不是什么很难的事,前题是题主可以坚持的话。一,题主现在要想方设法上谷歌,不论用什么方法,通过谷歌来查找有漏洞的网站,最简单的就
是SQL注入。二,找到可能存在SQL注入的网站后,先将这个网站放在乌去漏洞库上搜索一下,看是否已经有人提交过相关的漏洞了,如果有了,题主可以研究
一下别人的思路和方法,如果没有,题主再通过SQLmap进行测试,确认当前连接的用户名,数据库,能爆露多少表,是否可以取得网站的用户名和密码。接下
来题主可以提交漏洞了,静静等待乌云君的审核吧。哦,对了题主,你对目标网站进行渗透测试前最好能够连上国外的VPN进行操作,具体原因题主你应该懂得
的。
工欲善其事,必先利其器。题主应该已经安装了Kali
Linux了吧,这里面有很多实用工具,都是信息安全从业人员居家旅行必备工具,比如SQLmap,BurpSuite,后面绝对是渗透测试必备神器。有
了之前的基础,题主现在可以在自己的机器上安装个LAMP服务器,自己写一个登录页面,再通过SQLMap对登录页面进行渗透测试,再自己想办法进行修
复,比如,对于用户输入的参数进行过滤,无论是登录框的参数还是用户从URL中输入的参数,直到你自己的小网站再也测试不出漏洞。