按照渗透测试的流程来呗,拿到网站先判断是什么框架(看图标/路径/指纹识别工具),如果能识别出来就去找历史的漏洞去打;不能识别出来就正常去打,如果是登录页面就去测测sql注入、xss、万能密码、逻辑漏洞这些还可以翻看js扫扫目录,如果是后台就看功能点,想评论区就去测测xss、文件上传处就去测试文件上传、在查询数据出测试sql注入,反正就是看有啥功能点就测啥,改改/替换下参数;基本就是这样