漏查的地方。而学了这些基础内容之后,他理解了车辆的运行原理,会让他在任何情况把车开得最好。
王晚人这一节课讲了满满的干货,江海收获特别大,回去之后做了长时间的整理。再次使用异能挖掘软件漏洞的时候,他感觉顺畅了许多,远门的停滞感与阻塞感都逐渐消失,要查找出漏洞也更加容易。
之后,江海在SRC平台上注册了账号,名字就叫YCY_MFS,这是他对自己称呼的首字母,那个称呼就是异次元魔法师。对于网站介绍部分,江海并没有太过详细的查看,他感兴趣的是这个SRC平台是不是足够的专业和安全。
网络上,没有任何一个地方是绝对安全的,只要有信息的交换,就一定有可能出现可以破解的漏洞。SRC平台也是一样,虽然它在此时此刻,处于相对安全的状态。
能够达到这个相对安全的水平,是许许多多的安全专家和白帽黑客夜以继日工作的结果,有这些人把关,江海想要从中找出什么漏洞,并不是一件容易的事。他简单收集了相关信息,用异能挖掘了十多遍,结果一无所获。
江海摸了摸鼻头,自言自语:“专业平台就是专业平台,真厉害!”他并没有觉得沮丧,只是觉得他的水平还有待于提高,“好吧,我先到别的地方锻炼一下,改天再回头来找你的麻烦!”
SRC模式有公益SRC和专属SRC两种。
其中公益SRC模式是厂商通过平台享受系统漏洞测试服务,白帽子的现金及奖品鼓励由平台承担,厂商系统漏洞信息(不含漏洞细节,只有标题描述)在补天平台公开展示,所有注册人员均可查看漏洞标题以及漏洞类型的模式。厂商注册即默认加入公益SRC。
而专属SRC模式下,厂商可以自定义漏洞级别及各级别对应的悬赏价格,向平台上所有的白帽子公开征集漏洞,并支付悬赏费用,所有漏洞信息不公开。
可以说,专属SRC模式更能展示厂商对于网站安全的重视和对白帽子劳动成果的尊重,漏洞信息更私密,同时也是一种更高效,更具有自主性的SRC模式。
江海选择的是专属SRC模式,主要是因为这个模式有确定的目标。
这里有各大院校、各大公司的网页,那些厂商比较大、需要安全性能比较高的网页,给予的悬赏也比较高,当然也要视查找出的漏洞是低危、中危还是高危来定,少的话几十块钱,多的话两三千。
这些悬赏是不高的,但是那些能够找出漏洞的人,也不会想着依靠这么点悬赏生活。他们之所以来挖掘漏洞,主要是为了展现自己的实力,打出名声来,这样便能够在各大公司里找个好的职务,那才是真正挣钱的时候。
在挖掘漏洞的时候,江海选择的是“异能为主,理论为辅”的主要路线,以最快的速度研究查找着。
也不知为何,江海的异能对于那些普通人看得眼花缭乱的代码,比他查看普通的文字、图画等信息还要容易,就仿佛那是他的身体一部分一般,所以,他才能更快更好的找出这些代码中不合理的地方。
和之前一样,江海每天都会花点时间查看一个网页的信息,寻找并提交相关漏洞,他很少看悬赏多少,而是和之前一样按照顺序依次查找。
大多数网页是没那么安全的,它们都有这样或那样的问题,像是一个省财政厅的网页,就有“会计信息管理系统存在weblogic反序列远程命令执行漏洞”这样的事件型高危漏洞,和“系统多处漏洞打包”、“系统sql注入漏洞”等中危漏洞。
将这些漏洞查找并提交之后,江海有一种特别的荣誉感,就像他用武术保护弱小时候的感觉一样。这种感觉很好,让他的心更加的清净,让他的幸福感更加强烈,这也许就是好人有好报的一种解释吧!
江海挖掘漏洞的速度比普通人要快太多,但是他也有进步的空间,挖漏洞,需要不断的积累知识,不断的更新知识,江海还只是刚入门而已!
一个星期之后,江海把王教授讲解的那些知识消化的差不多,基本上懂得了挖掘漏洞的流程,与需要深入学习的相关内容,接下来他只需要更加深入的研究就可以了。王晚人教授已经把他领进了大门,剩下的这些都是需要江海下功夫研究的。
第205章 推开大门