第一天web方面的干货不是特别多啊
不过还好了
web漏洞挖掘方面
信息收集 除了真实ip可以过waf外 可以收集 网站dns历史解析数据
可以发现一些暴力破解扫描不到的子域名
dnsdb
注入方面多关注下 宽字节注入
!!! 排序注入 和multipart注入 (看一下)
关于ddos 正则ddos
字段越长搜索时间越长占用cpu资源越多 (有个tip形容不出来 回去好好看看)
应用漏洞挖掘
应用层代码漏洞: OWASP TOP 10、sans 25 、cwe 999
配置: 账号 debug接口
框架依赖开源组件漏洞:Libxml2 ImageMagick Axis2 FFmpeg
框架: Struts Spring Zedframework Cl
WEB SERVICE :代码执行 认证绕过 ssrf XXE 越权(看看 ssrf 和xxe)
语言:反序列化
HttpServer: jboss WebLogic WebSphere Apache Tomcat
