自己最近在补天测试总结的一般思路

　　　　　　　　　　　　　　　　　　测试一个网站，自己的思路1.打开大概了解一下程序的主要功能，比如是什么类型的网站啦，支持的业务有哪些啦，等等。2.用云悉进行指纹识别，识别出系统类型3.用nosec.org看下有什么收录的有用的url4.用dirfuzz查看敏感目录5.测试输入点，还有url参数，看是不是有没有过滤的输入，还有是否有360等软件拦截，这里主要是测试是否有xss漏洞，或者sql注入漏洞6.测试逻辑漏洞，如果是电商的话，就是在支付逻辑上，看看有没有什么修改金额，请求重放，等漏洞，这里引用freebuf一篇文章的图可以详细说明此类问题

如果是普通的网站，测试登录功能是否有验证码，一次请求后，验证码是否刷新等等问题，当然还有找回密码的功能，测试是否把手机号或邮箱和账户绑定7.测试其他的漏洞，最简单的应该就是域传送吧，linux下的测试命令是

# dig @1.1.1.1 wooyun.org axfr

暂时还没碰到过，还有json hijacking漏洞，用代理工具拦截，看服务端是否会返回json数据，如果返回，查看是否有引入其他网站的资源，是否有referer限制，以及token。

经验还不是很充足，随着渗透的深入可能会学到更多的测试手法，如果大家有补充或者其他问题，请留言给我，共同学习，共同进步！

参考链接：http://www.freebuf.com/vuls/151196.html

转载于:https://www.cnblogs.com/cangqing/p/7733587.html

自己最近在补天测试总结的一般思路相关推荐

软件测试——系统测试总结报告模板
软件测试--系统测试总结报告模板目录编写目的背景用户群定义测试对象测试阶段测试工具参考资料测试概要进度回顾测试执行测试用例测试环境网络拓扑测试结果 Bug趋势图问题类 ...
【web渗透思路】任意账号的注册、登录、重置、查看
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
python爬虫爬取补天公益SRC厂商
00X0 前言补天漏洞响应平台在七月份开始了新的活动,指定范围为公益SRC.无HACK 不兄弟现在都八月份了,七月不刷洞八月方便面啊.趁着月初,赶紧把公益SRC的域名全部爬下来 01X0 准备活动 ...
补天白帽大会五大热点前瞻
据悉,3月30日,补天白帽大会将在深圳开幕.本次大会由中国最大的漏洞检测与响应平台"补天"主办,国内外知名白帽.技术精英.安全爱好者.网络安全相关主管机构和知名企业的CISO齐聚一 ...
补天漏洞平台为什么能吸引众多白帽和企业?
[51CTO.com原创稿件]3月7日,维基解密分批公开了据称是美国中情局与网络攻击相关的一批秘密文件,文件揭露了美国中央情报局黑客部队的黑暗历史:攻击手法.攻击目标.会议记录以及几乎所有的黑客工具均 ...
【代码审计-JAVA】javaweb代码审计思路
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
【web渗透思路】框架敏感信息泄露（特点、目录、配置）
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
攻防演练-某地级市HW攻防测试演练红队渗透测试总结
某地级市HW攻防演练红队渗透测试总结文章目录某地级市HW攻防演练红队渗透测试总结前言一.对某目标攻击的复盘 1.Web打点 2.上免杀马反弹shell(Failed) 3.信息收集,数据库提权 ...
软件测试之系统测试总结报告
引言编写目的编写该测试总结报告主要有以下几个目的通过对测试结果的分析,得到对软件质量的评价分析测试的过程,产品,资源,信息,为以后制定测试计划提供参考评估测试测试执行和测试计划是否符合分析 ...

自己最近在补天测试总结的一般思路

自己最近在补天测试总结的一般思路相关推荐

最新文章

热门文章