渗透测试第一步:授权书!!!没有授权书不可动手。
接下来说的是得到授权书的前提下的一些规范,围绕4个字:点到为止!
会不断更新补充。
1、sql注入等注入型的漏洞,只证明确实能够读取数据即可,如读取当前数据库名或者表名。不能读取表内别的数据。对于update、delete、insert等操作慎用,能不用就不要用,最好是不要用。不允许使用自动化工具如sqlmap进行增、删、改等操作。
2、对于越权漏洞读取文件,点到为止,读取一两个数据,禁止批量遍历读取。如果账号可注册,测试都使用自己的账号进行增、删、改。不可影响正常用户。
3、在测试短信轰炸等类似漏洞,测试成功的数量不可超过50个。不允许使用正常用户的手机号进行测试。在进行用户名爆破时,应该调节相关的线程数量,视情况而定线程数。不可高强度爆破导致网站瘫痪。
4、存储xss漏洞,插入的语句不可影响正常用户的使用,千万不要弹窗!可以使用console.log语句,例如:<script>console.log(6553