【JSRC小课堂预告】Web安全专题（三）SRC漏洞挖掘技巧之高质量信息收集

Web作为一个公司对外提供服务的入口，如果开发者的安全意识不强，就会导致Web应用安全问题层出不穷。黑客往往以Web漏洞为入口，进而操作和控制网站，最终达到入侵的目的。

JSRC小课堂第149期，将继续就Web安全专题进行讨论，对Web安全漏洞知识做出讲解。

>>>>上期笔记：

通用化的工具不能完全符合Web安全测试人员的特定需求，从实际业务的操作效率方面考虑，独立开发出适用实际业务的插件是必要的。burpsuite提供了丰富的开发接口，基于工具开发的基本思路，我们可以从开发环境配置、关键接口配置和检测插件开发三个方面进行安全测试工具的研究，以支持漏洞的挖掘。

延伸阅读：【JSRC小课堂】Web安全专题（二）逻辑漏洞的burpsuite插件开发

>>>>本期议题：

信息收集是渗透测试过程中较为关键的环节，收集到的资产信息越充足，攻击面的覆盖度越广泛，甚至可以达到事半功倍的效果。我们在漏洞挖掘时经常会需要使用开源工具，但国内网络限制、商用接口付费、个性化工具定制没有头绪等问题，导致收集到的信息非常有限。而我们根据这些信息，难以挖掘到新的漏洞。转变目标，却可能找不到新的资产信息。

基于这些漏洞挖掘的难题，本期JSRC小课堂将和大家谈谈如何进行高质量的信息收集，以支持高效的漏洞挖掘。

>>>>本期嘉宾：

✎本期内容要点

1. 漏洞挖掘的高质量信息点讲解

2. 如何根据企业组织架构进行漏洞挖掘

3. 漏洞挖掘的主动信息收集演示

4. 漏洞挖掘的被动信息收集演示

✎往期逻辑漏洞相关分享回顾

1.【JSRC小课堂】Web安全专题（一）
2. 安全小课堂第120期【国内SRC漏洞挖掘经验和自用技巧】
3. 安全小课堂第八十七期【web漏洞挖掘之前期信息收集】
4. 安全小课堂第四十九期【网站安全检测之信息收集类工具】
5. SRC漏洞挖掘思路浅析

开课时间：本周五下午15:30-16:00

QQ开课群：464465695

关于漏洞

京东安全相关漏洞请提交至

https://security.jd.com/

关于本期主题，你有想交流的问题或见解么？

欢迎留言或私信小妹

我们将挑选2-3个进行探讨

这是JSRC安全小课堂

持续陪伴你的第

3年358天

交流、沉淀、分享

 关注JSRC

获取小课堂往期合辑

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/