来先看看主要的目录结构吧(粗略)。 核心代码去瞧瞧,我的思路一般都是看看能够登入的地方(下面是我直接找到的后台管理登入系统)。 全局搜索一下。 【技术资料】 这算漏洞吗? 进入看了一下,但是没什么用,不能强行爆破。有限制账号登入次数。但是这里有个可以探测的,就是管理员的账号,账号的对错分别的得到提示不一样。算个小小的漏洞? 路径遍历 既然这里是登入后台,那就进入这一片的代码瞧瞧。看先一些有趣的东西。