SRC挖掘


  • 简介
  • 目录大纲
  • 最新文档

    众测一路追到供应链

    前言 事起之因源于某次EDU众测,好巧不巧某高校连上了两次众测 华中 开局 目标靶标中一处资产,大概长这样 打过这套通用的都知道,这套实验室系统多处上传也不是什么0day,早在一年前就出来了 相对于这套上传,另外的VDI虚拟化架构一主多从Master + N node节点更让人心动 应该是这套 xxx孪生系统 大概长这样 打点 从我有一个朋友那里拿一个点,某系统的后台 又碰巧的是这套后...……

    xiaodi - 2026年7月3日 16:31


    AI+小程序任意登录漏洞

    前言 圈友的点,拿来学习一手,挖掘过程遇到了很多问题,通过交流也学习到了,很多之前不太了解的内容,交流是个好东西。 信息收集 直接搜索学校的名字,会看到很多学校相关的小程序,我们来到红色箭头这个小程序这里,这个就是本次的挖掘目标 edusrc挖掘的话,小程序信息收集,直接丢学校名字在搜一搜里面, 搜到公众号打公众号,有小程序打小程序就行,非常适合,天天感觉 自己找不到边缘资产的师傅,直接跳...……

    xiaodi - 2026年7月1日 14:47


    2026浏览器安全插件

    1. 幻影 幻影 (Phantom) 是一个专为SRC漏洞挖掘场景设计的浏览器扩展工具,旨在辅助白帽黑客在授权范围内高效挖掘潜在安全风险。该扩展通过自动化手段,对当前浏览页面及其关联资源进行智能分析,主动识别并提取可能存在的敏感信息暴露与安全线索,提升信息收集效率与覆盖广度。 2. 雪瞳 雪瞳 (SnowEyes) 是一个用于检测和提取网页中敏感信息的Chrome浏览器扩展,旨在帮助用户快...……

    xiaodi - 2026年6月26日 15:30


    AI自动搞定小程序审计

    一、前言 人工测试小程序效率低下,试试用 AI 来搞定。操作简单零门槛,普通人也能快速上手。本文分享完整实操方法,带你轻松完成小程序测试。 二、工具清单 ``` 微信小程序反编译工具:https://github.com/eeeeeeeeee-code/e0e1-wx trae:https://www.trae.cn/ 微信小程序安全审计skill:https://github.com/ss...……

    xiaodi - 2026年6月26日 15:28


    盘点主流大厂SRC规则

    很多刚入坑 SRC 的新手都会遇到的问题: 库库挖洞,熬夜提交一堆漏洞,结果: ❎直接被厂商驳回 ❎定级极低只有象征性奖励。 入行这几年我踩过不少坑,同样类型的漏洞,在 A 厂能定级中危拿激励,放到 B 厂直接判定不算漏洞。本质原因就是不了解各家 SRC 的收录标准。 ⚠️重要提醒:本文所有内容仅用于正规厂商公开 SRC 平台授权下的安全研究学习,任何未经网站所有者书面授权、私自扫描、渗透...……

    xiaodi - 2026年6月17日 19:12



    xiaodi