1. 项目前期准备工作
授权,拿到渗透测试权限(个人或者公司对公司的授权),
确定范围,域名渗透的范围,不能够对指定范围外的子域名进行渗透
2. 信息收集:
whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息
3. 漏洞扫描:
Nessus, AWVS
4. 手动挖掘:
逻辑漏洞
授权,拿到渗透测试权限(个人或者公司对公司的授权),
确定范围,域名渗透的范围,不能够对指定范围外的子域名进行渗透
whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息
Nessus, AWVS
逻辑漏洞