多收集手机资产
10 个回答
信息收集很重要,可以多审审js,说不定会有意外发现
组合拳,弱口令加社工,跑跑目录,有waf确实很头疼,做好信息收集吧,把攻击面扩大点,这样也许不用为waf头疼
信息收集多做做 看看能不能找到边缘资产 基本上维护的很少 接着就是钓鱼攻击
组合测试 一些社工口令,目录字典的收集,网站要是URL中带参数,测试各种注入
尝试弱口令和默认口令,还有目录扫描吧,说不定有备份文件泄露啥的呢。不然就社工他,人才是最大的漏洞~
试试弱口令和社工,绕waf也很重要,FUZZ一下。有些waf还是比较好绕
做好信息收集,试试从供应链攻击,钓鱼社工,你会有意想不到的收获
跑一下目录扫描,往往有意想不到的收货。比如spring 框架敏感信息泄露、git源代码泄露、隐藏页面或者接口等等,隐藏的页面弱口令、默认口令也是屡试不爽
弱口令 yyds