18 个回答
0 赞同
0 赞同
1 赞同
7 赞同
0 赞同
【2021BCS×补天 参与话题讨论赢三倍金币】您最擅长挖什么类型的...
最近都挖的是未授权的,通过一个特别的页面找到很多api,爆破api字段,然后尝试构造请求,危害小点的,任意用户密码充值,任意添加用户,问题大点的,直接任意上传文件Getshell了。在挖掘未授权的路上非常的有意思,代码逻辑很出乎意料,又在情理之中
回答于 2021-08-06 21:03
0 赞同
0 赞同
1 赞同
平时做渗透测试的时候,有什么渗透测试的常用方法
如问者提到的遇到做的比较好的网站框架这个呢一般对于我来说,网站的框架只是适合直接找Exp去对某个存在漏洞的框架进行漏洞利用如果再平时的渗透工作中,框架的识别和对应Exp的应用只是一小部分既然大的框架无法入手,那就从功能点开始,比如用户账号登录注册页面,后台页面等,在主页也常会见到sql注入的问题。以我的角度...
回答于 2021-07-08 12:04
0 赞同
怎么搭建vps外网服务器
看下有没有大学的朋友之类的,就反弹个shell,搞个腾讯云的学生及,一年100,挺不错的阿里云的学生机也可以白嫖好几个月如果有外币卡的话,可以白嫖下Google和甲骨文的vps
回答于 2021-07-08 11:48
0 赞同
上传了木马,但找不到在哪里,有什么好办法吗?
那这个也太尴尬了把,直接用D盾检测下目录试试把,或者用字符串匹配去检索你的木马特征把。比如利用Grep,Findstr等
回答于 2021-07-06 14:12