建议先从底层开始。先从框架漏洞开始,然后就到 OWASP top10大漏洞
1、查看该系统所用框架
struts2
spring
mybatis xml
2、查找SQL注入
DAO:是否存在拼接的SQL语句
XML中:是否使用$,
3、第三方控件漏洞
fckeditor,wordpress
4、文件上传、远程命令执行、远程代码执行、越权下载、逻辑
5、ofcms、javapms等cms。
