一:网站首页index.php
网站首页可能会与其他php页面进行捆绑,即跳转至其他页面,可通过网页开发者工具查看
也可通过burp抓取到
二:burp的抓包与字典爆破
(抓包过程后续补充)
简续:burp通过设置代理服务器,卡在浏览器与网页服务器之间,截取发送或者收到的网页数据包,通过修改、添加等等,再返回网页服务器。
在修改或添加字符后,选择do interecpet响应服务器,获取新的网页页面
爆破:通过在抓取页面的interecpert中send to intruber到intruber中,再通过添加变量,字典等等进行爆破。
三:XFF与Referer
XFF,全称X-Forawared-For,属于SQL注入的一种,代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库或某文件[通过修改XXF头可以实现伪造IP]),即可以通过其伪造ip。
Referer:HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。