① QQ方面的社工1）如果目标的空间（没设置好友可见或者指定好友可见，就可以进入目标的空间）2）浏览目标的说说（从你的说说中获取目标的姓名，手机号，地理位置等）3）浏览目标的说说的评论。（从中获取目标的地理位置或者目标手机号和姓名等）4）浏览目标的留言板。（获取目标的名字，班级，生日，年龄，地理位置等）5）浏览目标的相册。（获取目标的班级，学校，地理位置，面貌等）6）浏览目标的签名历史记录。（获取

基本面试问题渗透测试的类型 ⿊盒测试 测试⼈员没有任何系统信息 完全从外部攻击者的⻆度进⾏测试 ⽩盒测试 测试⼈员具有完整的系统信息 包括架构图 源代码等 可以进⾏更深⼊的测试 灰盒测试 介于⿊盒和⽩盒之间 测试⼈员拥有部分系统信息 基础漏洞原理SQL注入：开发人员对前端页面输入的内容没有做好严格过滤，导致前端用户可以将恶意的sql语句拼接到正常的sql语句带入后台数据库得以执行，从而达到攻击的

相信大家应该都做过cookie注入或者偏移注入了吧，聂风老师讲的查询输出点的方法相信大家也已经听过了，在十一期课程的偏移注入的录屏中(39分左右)，聂风老师提到了查询隐藏输出点的办法，并且说过不建议写字符串(44分30秒左右)，因为有些数据库他对联合查询有要求，说写字符串的时候会报错，所以我觉得大家应该都没有试过写字符串吧，可是我想试试，就发生了下面奇妙的一幕。从截图当中我们发现，多出了一个输出点