1.工具
火狐浏览器,HackBar,BurpSuite
2.信息收集类解题
信息收集的题目考题一般是收集关于目标网站的信息,如前端页面提示与HTTP源码、返回包请求包信息、网站路径文件等,根据这些信息分析得到flag。简单的题目是直接在源码中就可以获取到flag,复杂些的需要深入收集信息。
3.前端代码类解题
前端代码的题目考题一般是分析HTML、JS代码、修改HTML与JS代码,满足代码中的某些要求,或利用控制台浏览器解析混淆代码,才能获得flag。
4.HTTP协议类解题
5.SQL注入攻击
动态页面有时会通过脚本引擎将用户输入的参数按照预先设定的规则构造成SQL语句来进行数据库操作,SOL注入攻击指的足通过构建特殊的输入作为参数传入Web应用程序,改变原有的SQL.语句的语义来执行攻击者所要的操作,其主要原因是程序没有采用必要的揩施避免用户输入内容收变原有SQL语句的语义。
5.1.经典万能密码
6.文件上传漏洞
6.1.文件上传流程和上传攻击
6.2.WebShell
7.文件上传漏洞
7.1.上传检测方式
- 客户端JavaScript检测
- 服务端MIME类型检测
- 服务端文件拓展名检测
- 服务端内容检测
8.文件包含漏洞
