渗透技术框架

渗透技术框架可以分作以下几个方面：

1、web基础漏洞

包括csrf、地址类参数响应包含、验证码爆破、越权漏洞、xss、sql注入、文件上传、文件包含、xxe、命令注入、ssrf，以及http响应拆分、会话固定漏洞、操作界面劫持、反序列化、溢出漏洞、解析漏洞等。

2、环境漏洞

(1)服务器容器，包括nginx、iis、apache、tomcat、jboss、weblogic等，需要注意本身所提供的管理页面

(2)api，分为前端和后端，前端主要包括jquery和其它js插件，后端包括struts2、spring、mybatis、log4j、fastjson、shrio漏洞等

(3)cms，典型的是wordpress，以及富文本编辑器。需要注意默认用户名和密码

(4)系统和其它程序，windows的永恒之蓝、linux脏牛提权、mysql弱用户名和密码，smb服务漏洞等

3、渗透工具

包括浏览器、burpsuite、sqlmap、msf、中国蚁剑、wireshark、nmap、beef-xss等

4、基础知识

(1)计算机网络，尤其是http和https

(2)windows和linux操作系统，尤其是用户权限和敏感文件、防火墙的管理和日志分析

(3)前端技术，html/css/js和jquery，以及其它高级框架

(4)编程技术，主要是java和php，其次是python

(5)工具，包括开发工具、服务器容器和其它工具

5、自定义工具和其它

(1)自定义工具

(2)渗透经验和技巧

(3)靶场实战和非靶场实战

6、其它