手工漏扫
文章平均质量分 60
dhl383561030
这个作者很懒,什么都没留下…
展开
-
渗透测试项目二
一、给你一个登陆页面进行手工挖洞方法:首先进行前端查找:1.通过抓包查看是否存在密码明文传输。2.通过输入不同的用户名,查看是否存在不安全的提示,是否存在次数限制,若有则不能进行暴力破解。如果爆破会导致ip被封。3.观察页面有无验证码。4.是否存在弱口令。5.通过御剑后台、7kb、破壳判断目录。分为根目录探测和其他目录探测,一级一级目录去探测。6.地址栏有类似于redict=这样的参数,可以尝试下有没有任意目录跳转漏洞。还可以判断有没有xss漏洞。7.js扫描:看源代码,查看原创 2021-07-18 18:28:43 · 338 阅读 · 0 评论 -
渗透测试项目一
第一步:信息搜集:域名、ip、指纹信息、waf:如果给的是ip,既可以直接使用天境、nessuss系统扫描工具进行扫描,看是否存在高危刘大哥。如果给的是域名:直接使用awvs、appscan进行扫描。如果搜集的过程中服务器使用了cdn一定要用fofa查找真实的Ip,找出真实Ip后再使用工具扫描。可以通过网页或者wapp找到网站的指纹,通过指纹版本信息在seebug或者百度里面查找已经公开的漏洞然后进行复现,写成报告。...原创 2021-07-18 18:27:45 · 641 阅读 · 0 评论 -
手工扫描工具burpsuite的安装和使用之一,以及安全有关的http方法和消息头、什么是cookie值。
1.物理机上面无法进行汉化秘钥的提取时,可以使用虚拟机。每次运行要通过D:\tool\下周培训工具\burp2.011汉化\运行.bat打开。原创 2021-06-19 11:23:13 · 458 阅读 · 0 评论