zhangqiuyue 发表于 2013-2-7 19:18:12

大牛们静态的网站怎么检测。日..........

静态的网站怎么检测。日..........   




没有玩过。。。 也没见过,非常想学... 求点教程。。

q981204899 发表于 2013-2-7 20:18:07

xiaolynn 发表于 2013-2-8 09:12:14

q981204899 发表于 2013-2-7 20:18 static/image/common/back.gif
纯静态的就旁站吧

那要是伪静态的呢,,怎么办,,

Alt93 发表于 2014-2-5 03:24:20

只知道伪静态怎么注入。静态我都是扫目录找后台看网站程序 然后下源码 再突破。不然就是旁注了

lhtel 发表于 2014-2-6 13:57:42

本帖最后由 lhtel 于 2014-2-6 13:59 编辑

针对伪静态:
基础法:先抓包   查注点爆错误   没注入   问百度 查版本 要ODAY扫路径找后台爆菊花
高级法:也抓包试变量用GET 爆错误没成功扫目录扫不到撒泡尿 继续搞 试谷歌 关键字没找到 别晕倒 。。。。
技穷法: 同网段 ARP DNS

个人常用方法仅供参考

Alt93 发表于 2014-2-6 17:46:40

lhtel 发表于 2014-2-6 13:57 static/image/common/back.gif
针对伪静态:
基础法:先抓包   查注点爆错误   没注入   问百度 查版本 要ODAY扫路径找后台爆菊 ...

= = 哥们好叼求教试变量 怎么操作

lhtel 发表于 2014-2-7 12:29:31

Alt93 发表于 2014-2-6 17:46 static/image/common/back.gif
= = 哥们好叼求教试变量 怎么操作

12年的东西了
变量覆盖
http://zone.wooyun.org/content/1872

Alt93 发表于 2014-2-7 12:59:21

lhtel 发表于 2014-2-7 12:29 static/image/common/back.gif
12年的东西了
变量覆盖
http://zone.wooyun.org/content/1872

{:3_54:}学习了。。

520麒麟王 发表于 2014-2-11 10:47:49

针对伪静态,可以用 sqlmap注入

热心网友5 发表于 2026-5-22 12:20:00

Re: 大牛们静态的网站怎么检测。日..........

静态网站因为没有数据库和动态交互,检测重点通常在目录结构、敏感文件泄露、备份文件、配置不当、JavaScript 漏洞、跨站脚本等方面。你可以用 dirsearch 或 gobuster 扫目录,用 nikto 做基础扫描,手工查看 robots.txt、sitemap.xml、源代码注释等。另外,如果网站用了前端框架,也可以关注 API 接口泄漏或未授权访问。想入门的话,可以先从 burp suite 抓包看请求和响应,配合浏览器开发者工具分析前端逻辑。
页: [1]
查看完整版本: 大牛们静态的网站怎么检测。日..........