WEB渗透技术流程
1.渗透目标
渗透网站(这里指定为www.xxx.com)
切记,在渗透之前要签订协议。
2.信息收集
建议手动检查和扫描器选择同时进行。
2.1 网站常规检测(手动)
1:浏览www.xxx.com
-
初步确定网站的类型:例如银行,医院,政府等。
-
查看网站功能模块,比如是否有论坛,邮箱等。
-
重点记录网站所有的输入点(与数据库交互的页面),比如用户登录,用户注册,留言板等。
-
重点查看网站是否用到了一些通用的模板,比如论坛选择了动网(dvbss),就有可能存在动网的漏洞;邮箱有可能选择通用的邮箱系统,也有漏洞。
2: 分析