是說我是一個完全不打 web 的人,對 web 大概就只是有個基本概念
也就是知道啥是 html, css, js 這種XD
那今天要分享的是去某個機關參加某個計劃,就是可以合法對某些地方做滲透
然後要寫報告,拿到啥高危、低危都有獎金,為期一年的一個計畫
因為這有簽保密協定,所以一些東西不能寫太明白,但至少意思有帶出來就好
(( 是說我也怕被人認出是哪個,因為全台灣也只有這一個...
標題就寫小白了,因為我是 web 小白XD
雖然計畫為期一年,但我只參加一天就不去了 (( 可以選擇你想要去多少次
因為我基本 XSS, Sql injection 這些沒特別鑽研,其實花時間用工具
也是找得出來啦,只是 XSS 一般大多都是低危或 info 類
Sql injection 對我來說有點麻煩,當然 web 領域還有很多技術
只是我當時看別人寫的報告也沒看到其他別的
這邊單純寫最無腦最高 CP 的挖個資 XD
(( 是說某個單位派的人出來都只會挖個資...
(( 私底下認為挖這個很 Low 啦,所以我自己也不大會講這些,有點丟臉XD
挖個資就直接是高危,CP 很高,要求就是十筆資料(含)以上,然後要是 2012 年後的
因為好像法律是那之後頒布的(應該沒記錯)
挖法很無腦,就是直接 Google hacking
Google hacking 好像很多人介紹和在鐵人賽上也很多人寫 (望歷年...)
反正簡單講就是 google 搜尋可以下一些關鍵字,幫你過濾一些東西找到想要找的
那個資一般挖的就是 姓名 + 手機,當然如果可以挖到身分證那些也可以
我的挖法也很無腦,大概就是:
site:xxx.com filetype:doc
site:xxx.com filetype:pdf
site:xxx.com "0975"
大概類似這種,可以根據搜尋出來的資料作刪減或添加, 0975 是隨便寫的,也可以改成其他
然後有些蠻吃經驗,就是可能你知道某些格式,所以可以改關鍵字:
site:xxx.com "聯絡方式"
大概上面這種,其實真的很無腦、很無技術XD
我這樣挖,一天就有六個高危了,只是蠻空虛的,就不想去了
畢竟回去鑽研其他技術比較有意義...
喔對,忘記講寫報告,因為可以看到其他人的報告,所以我是直接抄襲別人的
只是敘述和圖片改成我的這樣,所以寫報告啥的就不說了