src挖掘-教育行业平台,规则,批量自动化

src挖掘-教育行业平台,规则,批量自动化
1.平台:
  cnvd漏洞平台,盒子,补天
2.教育平台src-批量
  用最新漏洞去测试
3.只收前端打入的漏洞平台-针对闭源系统
  先getshell,再进行白盒测试

得到源码后:
  寻找web.config,看配置文件或源码,找asmx结尾的文件
  asmx是web服务文件。属于b/s形式,用soap方式http访问,用xml返回
  有asmx丢到awvs里
  js也可以爆破

拿下cnvd证书-src
1.下载网上开源PHP代码,搭建后发现漏洞如弱口令->进行批量测试Python
2.seay审计 
  admin目录下的漏洞需要权限才能利用,可以先不看

3.工具dnspy
  可以把网站源码封装于.dll文件中的还原为源码。
  .jar   ->  intellij
  .dll   ->  dnspy
  .net  ->  idea

4.无源码情况下,js接口数据提交测试模拟
  -jsfinder工具,手工,扫描
  getjs 工具


 

你可能感兴趣的:(小迪安全学习日志,网络安全)