bl8ckwid0w

摘要： （一）针对网站程序，不考虑服务器。 一、查找注入，注意数据库用户权限和站库是否同服。 二、查找XSS，最近盲打很流行，不管怎样我们的目的是进入后台。 三、查找上传，一些能上传的页面，比如申请友链、会员头像、和一些敏感页面等等，注意查看验证方式是否能绕过，注意结合服务器的解析特性，比如典型的IIS6. 阅读全文