導(dǎo)語

早就想寫SOP了，但就是缺少一個合適的借口。正好我朋友他的CSDN專欄要向我約稿，我就寫一篇吧。

適用性：

非面試用。面試時候這么說會被搞的。

無論甲方乙方，只要能搞出來大家都能滿意。

本SOP只是信息搜集、漏洞挖掘那塊，大前提是主管/甲方允許這么做。其實業(yè)界的從業(yè)者都有自己一套作業(yè)流程的。

404星鏈計劃

知道創(chuàng)宇通過此計劃改善業(yè)界。

信息搜集

基礎(chǔ)信息 https://scan.top15.cn/web/

基礎(chǔ)信息?https://www.tianyancha.com/

子域名 ksubdomain https://github.com/knownsec/ksubdomain

子域名?Layer

ip/域名/C段/旁站?https://ipchaxun.com/

端口?nmap -sS -p 1-65535 -v? ?X.X.X.X

網(wǎng)絡(luò)空間?https://fofa.so/? 同時用來找子域名、旁站等
網(wǎng)絡(luò)空間?https://www.zoomeye.org/

漏洞挖掘

AWVS

xray?https://docs.xray.cool/

w13scan?https://github.com/w-digital-scanner/w13scan

goby?https://cn.gobies.org/

滲透測試常規(guī)操作記錄

https://github.com/xiaoy-sec/Pentest_Note

https://mp.weixin.qq.com/s/aYWpTt0C0Lj86F_K619U2w

一個項目，水平一種層次的人半個小時就能確定有沒有搞下來的可能。

很多時候，人又想要摸魚。所以，

SOP的建立就是為了一個快速流程化。人想要摸魚的嘛。要讓甲方/領(lǐng)導(dǎo)知道，這個業(yè)界搞不出來是很正常的事情。我第二家公司的主管，懂我的，最后走之前攤牌了，我跟他說，我就是想要摸魚，不要用KPI來打壓我，哈哈。不怪主管你，要怪就怪公司的體制吧。

我再舉幾個例子。

1. 甲方要求滲透進去。主管幫你接洽好了，開干。結(jié)果山窮水盡，無能為力。最后怎么辦？上面的SOP能匯總一個信息，用思維導(dǎo)圖或是Word匯總到一起，然后交給主管或是同事等等。最煩甲方的形式主義了，報告為了湊字數(shù)而湊字數(shù)，沒辦法。

2. 普通安全服務(wù)。就是按照SOP提交報告。

3. 藍方。加上溯源的SOP。https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ

   護網(wǎng)藍隊、甲方安全運維通用。