目录收集,重点在于字典
1、扫描后台的路径
2、扫描敏感文件
robots.txt可以查看泄露的目录
网站备份文件:获得源码备份甚至数据库文件
上传目录:upload之类
mysql管理接口:
phpinfo:泄露服务器硬盘资源、服务器根路径
网站文本编辑器:fckeditor
/etc/passwd、/etc/shadow、/etc/sudoers
vim编辑备份文件(.swp)
WEB-INF泄露:WEB-INF/web.xml
浙公网安备 33010602011771号