复盘
1.XSS漏洞原理、漏洞挖掘方法、漏洞修复(HTML实体化编码) 重中之重:原理、挖掘方法
2.渗透测试信息收集的方法(cnd、cms、端口、目录扫描) 重中之重:端口、子域名、目录扫描工具使用
3.端口信息及漏洞利用方法 重中之重:数据库相关的端口及利用方法
作业
1.了解一下什么是CMS,代表什么意思
2.收集三个子域名挖掘的工具,必须熟悉oneforall使用
3.了解心脏滴血漏洞(最好自己搭建环境操作一下)
4.熟悉masscan和nmap工具的使用
5.熟悉目录扫描三个工具使用(dirsearch)
6.熟悉mysql数据库的命令,了解redis、SQLserver等数据库信息。下节课提问:mysql5.0以上和5.0以下版本最大的区别是什么,对于SQL注入有什么帮助?
7.端口信息多记一些
8.了解一下cookie的相关信息和重要性
9.什么是XSS漏洞?XSS漏洞有什么危害?怎么防御XSS漏洞?了解HTTP only是什么?有没有办法可以绕过HTTP only?