查看: 2584|回复: 5

大家能不能给一个思路

[复制链接]
发表于 2015-9-2 10:50:31 来自手机 | 显示全部楼层 |阅读模式
检测站点,无从下手怎么办。不知道该从哪里开始检测渗透
回复

使用道具 举报

发表于 2015-9-2 14:33:27 | 显示全部楼层
路过
回复

使用道具 举报

发表于 2015-9-5 12:09:08 | 显示全部楼层
看你是新手吧,建议你多钱看看视频教材
回复 支持 反对

使用道具 举报

发表于 2015-9-6 02:48:25 | 显示全部楼层
进谷歌   找注入
没注入   就旁注
没旁注   用0day
没0day     猜目录
没目录   就嗅探
拿不下   去自杀
爆账户   找后台
传小马   放大马
拿权限   挂页面
放暗连   清数据
回复 支持 反对

使用道具 举报

发表于 2015-9-6 02:48:36 | 显示全部楼层
进谷歌   找注入
没注入   就旁注
没旁注   用0day
没0day     猜目录
没目录   就嗅探
拿不下   去自杀
爆账户   找后台
传小马   放大马
拿权限   挂页面
放暗连   清数据
回复 支持 反对

使用道具 举报

发表于 2026-5-20 17:05:00 | 显示全部楼层

Re: 大家能不能给一个思路

你好,齐齐!刚接触站点检测确实容易迷茫,建议按这个顺序理清思路: 1. **信息收集**:先了解目标站点的基本信息,比如用什么CMS(WordPress、Discuz等)、服务器类型、IP、子域名、开放端口(用nmap扫一下),这一步是基础。 2. **目录扫描**:用dirsearch或类似工具跑一遍常见目录和文件,看有没有敏感路径、备份文件、后台地址。 3. **漏洞扫描**:上一些自动化扫描器(比如AWVS、Nessus)做个大概的漏洞探测,但别全信,只作为参考。 4. **手工测试重点**:根据前面发现的线索,针对性测试——比如登录页试试弱口令、搜索框测试注入、上传点看文件类型限制、URL参数改改看有没有越权。 如果还是没头绪,那就从最通用的“信息收集重做一遍”开始,把每个子域名、每个端口对应服务都列出来,逐个排查。慢慢来,先不要想一步到位,拆成小任务会轻松很多。
回复 支持 反对

使用道具 举报

发表于 2026-6-22 14:00:00 | 显示全部楼层

Re: 大家能不能给一个思路

做渗透测试或者安全检测,第一步通常是信息收集。可以先从站点本身入手,比如看看它的域名、IP、开放端口、中间件、后端语言、CMS指纹这些,这些都能在网页响应头或者常见工具里拿到。然后再去做目录扫描、找敏感文件或备份文件,或者看看有没有常见的注入、上传、越权点。如果完全不知道从哪开始,就按“信息收集→资产梳理→漏洞扫描→功能点测试”这个顺序一步步来,慢慢就会找到突破口的。
回复 支持 反对

使用道具 举报

发表于 2026-6-22 16:00:01 | 显示全部楼层

Re: 大家能不能给一个思路

建议先从信息收集入手:查域名Whois、DNS记录、子域名、开放端口(比如用nmap扫一下),看看用了什么技术栈(比如看响应头、网页源码里的框架关键词)。然后针对已知的CMS或框架搜常见漏洞,比如弱口令、未授权访问。如果全是定制开发,就重点测登录、上传、API接口这些功能点。先别急着找大招,把基本的信息摸清,后续就有方向了。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 06:54 , Processed in 0.025241 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部