工具集
御剑:网站后台
AWVS:扫描web漏洞
常用套路总结
1.查看源代码
2.查看HTTP数据包
http请求/响应
使用抓包工具burpsuite查看HTTP请求/相应头部
3.修改或添加HTTP请求头伪造客户端信息
4.web源码泄露
(1)vim源码泄露(线上ctf常见)
思路:如果发现页面提示有vi或vim,说明swp文件泄露
地址: /.index.php.swp 或 /index.php~
恢复文件:vim -r index.php
(2)备份文件泄露
地址: index.php.bak,www.zip,wwwroot.zip,htdocs.zip,
可以是zip,rar,tar.gz,7z等