网址如下:

https://zhongce.360.cn/

想参与360众测活动,需要注册登陆,并完成考核。

考核内容

1.选择题

2.判断题

3.实战题(分值最大)

题目都比较简单,实战题是CTF形式,拿到一半以上的flag应该就可以通过了。

主要题型如下:

1.各种Web漏洞

  • SQL注入
  • XSS跨站脚本攻击
  • 文件上传
  • 命令执行
  • 编辑器漏洞

2.流量分析题

比较简单,会用wireshark,分析简单的数据包就可以了。

3.CMS

针对特定CMS系统的分析题。

4.CVE

经典CVE的复现和分析。

总结了几个常考的点:

  • GET\POST
  • CVE-2011-3923(struts2)
  • webshell上传
  • Samba远程命令执行漏洞(CVE-2017-7494)
  • drupa7-CVE-2018-7600
  • php文件包含(www.zip源码)
  • 6379端口Redis未授权访问漏洞
  • wireshark流量分析(xiaoma.php)
  • 文件上传绕过方式
  • SQL注入(sqlmap)(要知道注入点在哪)
  • 代码审计(php弱类型)
  • 873rsync服务
  • 后门扫描
  • Supervisor远程命令执行漏洞(CVE-2017-11610)
  • User-Agent头伪造
  • PHPMailer远程命令执行漏洞
  • Referer来源伪造
  • 万能密码
  • tomcat弱口令上传
  • CMS
  • 弱口令
  • Bash远程代码执行漏洞“破壳”(CVE-2014-6271)
  • Drupal 远程代码执行漏洞CVE-2019-6339
360zc