en0th
en0th - 数码爱好者

性别: 注册于 2021-04-10

www.en0th.com

向TA求助
46金币数
1176 经验值
20个粉丝
主页被访问 8807 次

1 个回答

0 赞同

【2021BCS×补天 参与话题讨论赢三倍金币】您最擅长挖什么类型的...

我基本上都是手工测试,平时挖的比较多的就是存储XSS,评论区、意见反馈、个人资料都会顺手试试。CSRF也很常见,用户信息、业务的操作啥的都可以试试很容易就出洞了的。文件上传的话,比较多是在用户上传头像、视频啥的。SSRF也常挖,加载头像、翻译、oauth登陆啥的。最深刻就是边界渗透,猛番JS找接口爆破 query 到手机APP...

回答于 2021-08-06 20:39