目前的的web安全top10已经学完了，但是现在拿到一个站依然不知道...

按照渗透测试的流程来呗，拿到网站先判断是什么框架（看图标/路径/指纹识别工具），如果能识别出来就去找历史的漏洞去打；不能识别出来就正常去打，如果是登录页面就去测测sql注入、xss、万能密码、逻辑漏洞这些还可以翻看js扫扫目录，如果是后台就看功能点，想评论区就去测测xss、文件上传处就去测试文件上传、在查询数据...

回答于 2024-07-25 17:18