国外漏洞赏金数据共享
2022-10-21 08:30:33 Author: mp.weixin.qq.com(查看原文) 阅读量:25 收藏

为了方便所有人参与国外的漏洞赏金项目,信息收集的过程通过数据共享的方式帮你省略,让你专注于漏洞的挖掘,今天来给大家整理几个为大家共享漏洞赏金数据的开源项目。

01 目标有哪些

参与漏洞赏金,首先得有目标,那么国外有哪些平台?这些平台上收录的测试范围有哪些?请看:

https://github.com/arkadiyt/bounty-targets-data

更新时间为十个小时前,数据更新还是很频繁的,收录的赏金平台包括 bugcrowd、hackerone、federacy、hackenproof、intigtiti、yeswehack,一共包含 1707 个主域名。

02 有么有收集好的数据

域名有很多,全部进行一次信息收集,需要很长的时间,那么有没有人把所有数据收集好分享一下呢?当然有,这里分享几个数据源。

1、Inventory,收录了 70 个左右项目的信息,最近更新 9 小时前,项目地址:

https://github.com/trickest/inventory

收集的信息包括:

关于收集的方式,可以查看视频:

 
2、bug-bounty-recon-dataset,收录了 280 个项目,679 个主域名,项目地址:

https://github.com/ARPSyndicate/bug-bounty-recon-dataset

收集的信息包括 asn 号、图标哈希、端口、http 指纹、子域名、网站截图:

数据量不小,放在文件里也不太好看,不过基于数据做漏扫还是很方便的,提取存活网站即可。

03 数据这么多,不好看啊,有没有什么办法

之前分享过一个项目,界面做的是真不错,如果能将这些数据导入进去,那不是很优秀?项目介绍《好看又实用的自动化平台》,演示视频:

 

04 总结

到这里,目标有了,数据也有了,可视化的平台也有,不用动手信息收集,该有的都有了,虽然不全,但是一个漏洞赏金数据平台已初步形成,接下来可以安心漏洞挖掘了,先来它一轮漏扫看看有没有显而易见的漏洞,实在不行,挑着目标,照着漏洞测试检查项,挨个挖,不就不信挖不到漏洞,我的分享结束了,剩下就看你自己的了。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247498051&idx=1&sn=cb0c3c6aa1963233be9766b51bbeaeaa&chksm=ec1dc96bdb6a407d34ac05ad1daec7ba0de10a14917e08f23013f6c15e60bf10f0e99171fcac#rd
如有侵权请联系:admin#unsafe.sh