一天三战,不相信还不会面试,
尽量答复仔细!!!而不是回复大概
⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️⬇️
本文章可能有不严谨的地方,还请大家指出以便于学习和改正
请说一下渗透有哪些流程
1、信息收集
- 服务器相关信息(
真实IP、开放端口、版本号信息、WAF等) - 网站指纹识别(
cdn、cms、证书等和dns记录) - 收集域名的whios信息(
姓名、邮箱、备案、电话反查) - 扫描网站目录,看看有没有敏感信息文件、接口和路径(
若大面积不能扫描,利用浏览器插件或者Yakit挂上代理寻找代码中的敏感信息) - 利用搜索引擎或者自媒体进行针对化搜索
2、漏洞挖掘
- 浏览网站功能点
- 弱口令,目录扫描,对相应的端口进行漏洞检测(
mysql、ftp、ssh弱口令等) XSS、Sql注入、任意文件上传、命令注入、越权、csrf、ssrf、暴力破解、cookie安全检测、敏感信息、未授权访问、逻辑漏洞、目录遍历、服务器漏洞检测、任意文件读取,最后使用工具扫描
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
