操作时间2020上半年第2讲6分46秒开始
为什么要扫描一些网站的信息?
答:使后期测试时有针对性,不同环境会出现不同结果,前期尽量要多获取网站信息,减少后期检测错误
例如:WebPathBrute对所用字典的php网站用jsp扫目录可能会出现错误
答:一些网站数据库的固定组合(免得后期费时间扫了)
①如何判断伪静态网站?
答:看网址后面有/login.html的一般是伪静态,即需要通过其他测试方法来确定该网站的格式
例如:淘宝网用户登录界面
注意:当一些网站网址的后端出现.php等就是没有伪静态,下面的操作就不用了
②如何判断伪静态格式(续①)
方法一:通过数据包检测网站搭建平台
浏览器:火狐浏览器
测试网站:淘宝网用户登陆界面
测试过程:
方法二:多提交地址访问抓包分析
测试过程:在方法一的基础上,多次提交账号密码登陆 例如:账号11密码111等。会在方法一图中出现新的域名,单击进入并展开GET会出现有后缀的文件
例如: