EDUSRC证书站|某大学证书站挖掘与一次小通杀
某大学新上了证书,因为没有账号进入站内渗透,所以只能考虑站外与小程序。首先是信息搜集阶段,我的思路是先测试可以注册进入的网站,在fofa、鹰图、谷歌语法、ARL灯塔中寻找符合要求的站点(body中有注册即可)。在灯塔中找到了某站,标题为XX系统,XX平台的可以重点关注一下,可能会有注册功能。注册账号进入该站点:我一般习惯先测试逻辑漏洞,越权(重点找能够修改、删除、查看的功能点)、支付漏洞等,注入等
您已发布 11篇文章作品写文章
某大学新上了证书,因为没有账号进入站内渗透,所以只能考虑站外与小程序。首先是信息搜集阶段,我的思路是先测试可以注册进入的网站,在fofa、鹰图、谷歌语法、ARL灯塔中寻找符合要求的站点(body中有注册即可)。在灯塔中找到了某站,标题为XX系统,XX平台的可以重点关注一下,可能会有注册功能。注册账号进入该站点:我一般习惯先测试逻辑漏洞,越权(重点找能够修改、删除、查看的功能点)、支付漏洞等,注入等