前言
鸽了好久的整理,终于有时间开始系统的整理一下了,要填好多的坑,一定要要成及时整理的好习惯。
这是一篇基础篇,主要是了解一下src是什么,以及我们要怎么做。
SRC 是什么
SRC(Security Response center )- 安全应急响应中心
在互联网和网络安全流域,它通常指企业或组织建立的接收和处理外部白帽子(安全研究人员)提交的安全漏洞报告的官方平台。
主要功能:
- 漏洞接收 :作为企业与安全研究者之间的桥梁,接收关于该企业产品、服务或系统的安全的漏洞报告
- 应急响应 : 对提交的漏洞进行验证、定级,并协调内部团队进行修复
- 奖励机制 : 根据漏洞的危害程度和影响方位,向提供者提供现金奖励、积分、礼品或荣誉认证
常见的SRC:
企业自建SRC
第三方平台SRC
工具
- Burpsuite
- 灯塔(安装在VPS)
基础
- Web
简介
- World Wide Web(全球广域网),也称万维网
- 基于超文本和HTTP的、全球性的,董涛交互的、跨平台的分布式图形信息系统
- 建立在Internet上,为浏览者在Internet上查找或浏览信息提供了图形化的、易于访问的直观界面
应用
- 利用浏览器和网络技术在互联网上执行任务的计算程序
- 是服务器端脚本(PHP/ASP)处理信息的存储和检索
- 用户通过在线表单、内容管理系统、购物车等与公司进行互动
- 用户通过它创建文档、共享信息,写作项目以及在共同的文档上工作,不受地点或设备的限制
安全
- 随着Web应用的不断发展,可以通过网页的形式使用的功能越来越丰富
- 人员分类
- 黑帽子
- 利用技术手段攻击并利用Web应用来牟取利益的人
- 白帽子
- 通过技术手段发现Web应用存在的安全威胁从来保护Web应用免受攻击的人
- 黑帽子
- 特点
- 主要关注的是保护Web 应用程序免受攻击和数据泄露等威胁
安全威胁
- 指可能度系统、网络或数据造成损害或破坏的各种潜在危险
- 这些危险可以来自各种不同的源头,如黑客攻击、病毒、木马、蠕虫、恶意软件等
- 目的
- 获取敏感希纳溪、篡改数据、破坏系统、扰乱正常的系统运行或进行其他非法活动
- 安全威胁可以从各种不同的层面进行防护,如网络层、应用层、操作系统层等
学习指南
- HTTP基础
- HTML基础
- 跨站脚本攻击漏洞
- SQL注入漏洞
- 文件上传漏洞
- 文件包含漏洞
- 命令执行漏洞
- 跨站请求伪造漏洞
- 逻辑漏洞
- XML外部实体注入漏洞
- 服务端请求伪造漏洞
网站存在最多的严重漏洞- RCE(命令执行漏洞)和敏感信息泄露[最高等级漏洞]