【2021BCS×补天 参与话题讨论赢三倍金币】您最擅长挖什么类型的...

我基本上都是手工测试，平时挖的比较多的就是存储XSS，评论区、意见反馈、个人资料都会顺手试试。CSRF也很常见，用户信息、业务的操作啥的都可以试试很容易就出洞了的。文件上传的话，比较多是在用户上传头像、视频啥的。SSRF也常挖，加载头像、翻译、oauth登陆啥的。最深刻就是边界渗透，猛番JS找接口爆破 query 到手机APP...

回答于 2021-08-06 20:39