18 个回答
后台地址爆破不出来
尝试前端JS翻一翻,看看有没有后台路径,也可能存在未授权或者API泄露的或者Google Hack一下,看下Google有没有抓到过站点的后台页面
回答于 2021-07-02 17:43
目前在学代码审计,到小框架利用debug可以调试就学不进去了,求...
学不进去是因为太困难学不动还是没有学习的激情呢?如果是学不动的话推荐先从小的CMS入手代码审计,其实就是找下复现文章,自己分析复现下,找个感觉,找到自己一些擅长的分析的点。然后找很小众的CMS去挖一挖,肯定能有所收获。如果是学习失去激情的话推荐呢打打鸡血,认识的一个CTF师傅,一个月挖了好几个小众CMS的洞,甚...
回答于 2021-07-02 00:40
如何更高效的进行代码审计
根据自己的经验的话,如果从0接触一个小众Cms,还是通读比较好。如果是存历史漏洞的一些框架CMS的话,可以通过历史漏洞入手,来尝试绕过补丁或者找寻一些新的链子。个人建议呢,在黑白盒结合的基础上,从功能模块下手,理清基础启动逻辑,然后分功能模块去挖
回答于 2021-07-02 00:34
大家遇到打开主页是404的站点该如何测试
其实主页遇到404页面,也可能是一件好事,因为该站点可能存在长期没有维护的问题。我测到这样的站的话,首先会尝试去爆破目录,尝试去获取更多的可用目录路径,通过其他的目录可能会捡漏到一些API泄露或者目录遍历的漏洞。其次,如果给定的是一个URL资产的话,一般就做到这里了。如果是IP的话,可以尝试扫描下开放端口,然...
回答于 2021-07-01 17:14
测试网站的时候,遇到数据包加密了如何测试
通过Burpcrypto工具或者jsEncrypter,在github都可以找到,配合burpsuite可以实现加密
回答于 2021-07-01 09:30
求大佬给一个学习渗透测试的学习流程
漏洞银行有一个比较详细的技能书,可以根据自己的水平选择从哪里开始,我最开始是通过CTF积累基础知识然后慢慢进阶的。通过CTF可以快速积累基础知识,增加自己的代码审计水平等等。后面就可以尝试去挖挖公益的漏洞,去实习等,增加自己的实战技术
回答于 2021-06-29 16:41
【儿童节快乐】留言有礼
不知道为啥,写了几百字结果提交报错了,害,在码一遍1.童年玩的最多的应该是小霸王游戏机里的游戏里。那时候电脑还没普及,还是用的大屁股电视机,电视前面放了一个桌子,桌子上摆着小霸王。然后几个小伙伴一起坐在沙发上通过有线的特别简易的手柄。当时玩的最多的应该是超级玛丽和忍者神龟闯关,PK这种系列,最喜欢玩的还...
回答于 2021-06-01 18:00