1. 极安网首页
  2. 网络安全技术

CTF夺旗赛Web安全渗透测试总结

CTF夺旗赛Web安全渗透测试总结-极安网

#仅作为自己的笔记及刚入门的童鞋,大牛勿喷#

基础篇

1.直接查看源代码

http://lab1.xseclab.com/base1_4a4d993ed7bd7d467b27af52d2aaa800/index.php

2.修改或添加HTTP请求头

常见的有:

Referer来源伪造

X-Forwarded-For:ip伪造

User-Agent:用户代理(就是用什么浏览器什么的)

http://lab1.xseclab.com/base6_6082c908819e105c378eb93b6631c4d3/index.php

//.net的版本修改,后面添加,如版本9

.NET CLR 9

Accept-Language:语言

http://lab1.xseclab.com/base1_0ef337f3afbe42d5619d7a36c19c20ab/index.php
http://ctf1.shiyanbar.com/basic/header/

Cookie的修改

http://lab1.xseclab.com/base9_ab629d778e3a29540dfd60f2e548a5eb/index.php

3.查看HTTP请求头或响应头

http://lab1.xseclab.com/base7_eb68bd2f0d762faf70c89799b3c1cc52/index.php
http://ctf1.shiyanbar.com/basic/catch/

4.302跳转的中转网页有信息
http://lab1.xseclab.com/base8_0abd63aa54bef0464289d6a42465f354/index.php

5.查看开发者工具控制台

6.javascript代码绕过

通过删除或修改代码或者本地代理改包绕过

http://lab1.xseclab.com/base10_0b4e4866096913ac9c3a2272dde27215/index.php

7.使用burp的repeater查看整个HTTP包
http://lab1.xseclab.com/xss1_30ac8668cd453e7e387c76b132b140bb/index.php

8.阅读javascript代码,直接控制台获取正确密码
http://ctf1.shiyanbar.com/basic/js/index.asp

9.robots.txt文件获取信息
这本来是给搜索引擎看的信息,很可能暴露网站结构目录

http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/index.php

10..bash_history,这个应该说看到过吧,就是记录用户输入过的linux命令的

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3105.html