归档测试
测试条件:
1.web业务运行正常
2.已知目标站域名或IP地址
3.测试需JRE环境
4.测试工具:DirBuster.jar(或Acunetix Web Vulnerability Scanner 、JSky、IntelliTamper、Netsparker...)
测试目的:
爆破 目录路径,接口路径,管理后台路径,备份文件(*.zip,*.rar,*.bk....)
测试方式:
1.通过robots.txt获取敏感路径,如:
http://ww.foo.com/robots.txt
2.通过搜索引擎获取路径,如:
site:ww.foo.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:ww.foo.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:ww.foo.com intitle:管理|后台|登陆|
site:ww.foo.com intext:验证码
3.通过工具爆破路径,
略....
漏洞危害:
1.信息泄漏(拖接口数据,获取管理后台,获取数据库或程序源代码,获取站点结构)