记得有一次刷抖音遇到一位高手,那天开始,我是悟的。有谁曾经想过左脚踩右脚就能螺旋直
升?回忆今年不知道几月份,火线平台开放,但因工作原因一直在召唤师峡谷征战,实在是太忙
了,上周我打开了百度,发现居然有充值,ok,进入一看,原来只有点点资产,现在已经有很多
了,于是就有了捡漏洞的想法。
Huoxian网络爬虫+httpscan过滤系统+自动测试+自动操控。
第一个是编写Huoxian爬行器,直接调用header直接资产软件的json数据接口,利用简洁的reques
ks请求+re规则来完成,header头部加入cookie+token验证。接着是url资产验证筛选,老实说,
本带师的确花了不少时间,直到现在还不太满意,因为对于一个想要填补漏洞的菜鸟来说,url
资产收集得越多,越好,筛选得越细越好,但是写下的bug越多,直至有一日,我明白了。老
师告诉我,以你现在的水平只能捡垃圾还捡不到漏洞,我问老师为什么,老师笑着没有说什么
,指着我的头顶,那一刻,我已经明白了。我相信许多用子域名爆破收集的资源都是重复使用
的资源,我都加入了对资源的过滤系统和对响应包大小的过滤系统,但是之后我发现一些url请
求需要js跳转才能访问最终的页面,导致丢失了很多url资源,然后我发现新大陆request_html
这个新模块,然后发现方法调用的时间发生多线程冲突,然后就没有了然后,先用requesks
补丁将就着用。
ks请求+re规则来完成,header头部加入cookie+token验证。接着是url资产验证筛选,老实说,
本带师的确花了不少时间,直到现在还不太满意,因为对于一个想要填补漏洞的菜鸟来说,url
资产收集得越多,越好,筛选得越细越好,但是写下的bug越多,直至有一日,我明白了。老
师告诉我,以你现在的水平只能捡垃圾还捡不到漏洞,我问老师为什么,老师笑着没有说什么
,指着我的头顶,那一刻,我已经明白了。我相信许多用子域名爆破收集的资源都是重复使用
的资源,我都加入了对资源的过滤系统和对响应包大小的过滤系统,但是之后我发现一些url请
求需要js跳转才能访问最终的页面,导致丢失了很多url资源,然后我发现新大陆request_html
这个新模块,然后发现方法调用的时间发生多线程冲突,然后就没有了然后,先用requesks
补丁将就着用。
还有auto_man这个脚本,它是一个在github上链接360网络爬虫和xray测试的脚本,并配置文
件路径。拾垃圾时打开,一个网站都捡到了洞,我直接放10000上,不直接起跑?倾听掌声。
件路径。拾垃圾时打开,一个网站都捡到了洞,我直接放10000上,不直接起跑?倾听掌声。
