渗透测试实战---菠菜切入点

前言

本文仅用于交流学习， 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

渗透测试可分为三个阶段

信息收集

        尽可能的收集所有关的资产信息确定测试范围

漏洞发现

        针对收集的资产进行进一步的漏洞检测

漏洞利用

        针对发现的漏洞进行进一步的利用以及利用的程度

1.js中的api接口

2.多端口形站点

3.客服系统钓鱼引导等

4.积分系统针对脆弱的旁站

5.充值接口

6.找源代码分析某演示站泄露的源码白盒分析

7.bc后台根于js资源url,子域,等多种方式找一般小站大多是自域前加 ad ag admin 123admin ht等等

转载于原文链接： https://mp.weixin.qq.com/s/ZGNKIkfOidLPpjT856LHxw