a. 先收集网站不同栏目、内容、图片、源代码等的URL,总结并分析网站的结构和路径
b. 根据收集到的目录对网站进行目录遍历
c. 根据得到的信息对网站后台进行猜测
d. 测试信息泄露漏洞
e. 配合sqlmap对可能出现sql注入的地方进行测试(URL,输入框,http报头等)
f. 可以配合XSS框架进行XSS漏洞的测试
g. 测试逻辑漏洞
h. 根据不同的网站看是否需要进行CSRF、SSRF、反序列化、文件上传、命令执行等漏洞的测试
i. 测试网站所使用的框架、服务器、系统等可能存在的漏洞
1. 端口扫描(nmap) 2. 目录扫描(御剑,DirBuster) 3. web漏洞扫描(AWVS,Ap...
1.信息收集 whois查询旁站,c段查询子域名查询 nmap-sP 192.168.1.100 ...
一、信息收集 1. 域名信息:whos、后台、ip、旁注 2. 服务器、组件:系统、web server(Ap...
一、查找注入,注意数据库用户权限和站库是否同服。 二、查找XSS,最近盲打很流行,不管怎样我们的目的是进入后台。 ...
常规web渗透测试漏洞描述及修复建议https://yq.aliyun.com/articles/505476常规...
1.渗透流程 1.1. 什么是渗透: 模拟黑客,找到企业中的漏洞,给企业相关建议 1.2. 常规渗透: 1.得到授...
原来是想着每个点都自己写的,后来觉得重复造轮子花费这么多时间似乎没什么必要,网上文章已经这么多,而且大家都写的这么...
一、说明 《Metasploit渗透测试魔鬼训练营》等书已经对渗透测试的步骤流程划分得比较合理透彻了,但感觉在多次...
原创:转发请声明来源。 场景分析 这里以抢红包场景为例,需求如下: 常规思路 这里提一下最常见的思路: 常规思路的...
1、信任自己的产品 2、标题是成功的一半 (1)引起注意 (2)简单传达完整意思 (3)引导用户继续看下面的内容 ...
本文标题:常规渗透思路
本文链接:https://www.haomeiwen.com/subject/djhiixtx.html
网友评论