以下內(nèi)容出自i春秋社區(qū)

在獲取書面授權(quán)的前提下。

1)信息收集拉一，

1采盒，獲取域名的whois信息,獲取注冊者郵箱姓名電話等。

2蔚润，查詢服務(wù)器旁站以及子域名站點磅氨，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞嫡纠。

3烦租，查看服務(wù)器操作系統(tǒng)版本，web中間件除盏，看看是否存在已知的漏洞叉橱，比如IIS，APACHE,NGINX的解析漏洞

4者蠕，查看IP窃祝，進行IP地址端口掃描，對響應(yīng)的端口進行漏洞探測踱侣，比如 rsync,心臟出血粪小，mysql,ftp,ssh弱口令等。

5泻仙，掃描網(wǎng)站目錄結(jié)構(gòu)糕再，看看是否可以遍歷目錄量没，或者敏感文件泄漏玉转，比如php探針

6，google hack 進一步探測網(wǎng)站的信息殴蹄，后臺究抓，敏感文件

2）漏洞掃描

開始檢測漏洞，如XSS,XSRF,sql注入袭灯，代碼執(zhí)行刺下，命令執(zhí)行，越權(quán)訪問稽荧，目錄讀取橘茉，任意文件讀取，下載姨丈，文件包含畅卓，

遠程命令執(zhí)行，弱口令蟋恬，上傳翁潘，編輯器漏洞，暴力破解等

3）漏洞利用

利用以上的方式拿到webshell歼争，或者其他權(quán)限

4）權(quán)限提升

提權(quán)服務(wù)器拜马，比如windows下mysql的udf提權(quán)渗勘，serv-u提權(quán)，windows低版本的漏洞俩莽，如iis6,pr,巴西烤肉旺坠，

linux藏牛漏洞，linux內(nèi)核版本漏洞提權(quán)豹绪，linux下的mysql system提權(quán)以及oracle低權(quán)限提權(quán)

5) 日志清理

6）總結(jié)報告及修復(fù)方案

sqlmap价淌，怎么對一個注入點注入？

1）如果是get型號瞒津，直接蝉衣，sqlmap -u "諸如點網(wǎng)址".

2) 如果是post型諸如點，可以sqlmap -u "注入點網(wǎng)址” --data="post的參數(shù)"

3）如果是cookie巷蚪，X-Forwarded-For等病毡，可以訪問的時候，用burpsuite抓包屁柏，注入處用*號替換啦膜，放到文件里，然后sqlmap -r "文件地址"

nmap淌喻，掃描的幾種方式

sql注入的幾種類型僧家？

1）報錯注入

2）bool型注入

3）延時注入

4）寬字節(jié)注入

報錯注入的函數(shù)有哪些？

1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------

2）通過floor報錯 向下取整

3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

4）.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5）.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6）.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7）.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8）.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9）.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10）.exp()select * from test where id=1 and exp(~(select * from(select user())a));

延時注入如何來判斷裸删？

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

盲注和延時注入的共同點八拱？

都是一個字符一個字符的判斷

如何拿一個網(wǎng)站的webshell？

上傳涯塔，后臺編輯模板肌稻，sql注入寫文件，命令執(zhí)行匕荸，代碼執(zhí)行爹谭，

一些已經(jīng)爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件榛搔，wordpress上傳插件包含腳本文件zip壓縮包等

sql注入寫文件都有哪些函數(shù)诺凡？

select '一句話' into outfile '路徑'

select '一句話' into dumpfile '路徑'

select '' into dumpfile 'd:\\wwwroot\http://baidu.com\nvhack.php';

如何防止CSRF?

1,驗證referer

2，驗證token

詳細：淺談cnode社區(qū)如何防止csrf攻擊 - CNode技術(shù)社區(qū)

owasp 漏洞都有哪些践惑？

1腹泌、SQL注入防護方法：

2、失效的身份認證和會話管理

3童本、跨站腳本攻擊XSS

4真屯、直接引用不安全的對象

5、安全配置錯誤

6穷娱、敏感信息泄露

7绑蔫、缺少功能級的訪問控制

8运沦、跨站請求偽造CSRF

9、使用含有已知漏洞的組件

10配深、未驗證的重定向和轉(zhuǎn)發(fā)

SQL注入防護方法携添？

1、使用安全的API

2篓叶、對輸入的特殊字符進行Escape轉(zhuǎn)義處理

3烈掠、使用白名單來規(guī)范化輸入驗證方法

4、對客戶端輸入進行控制缸托，不允許輸入SQL注入相關(guān)的特殊字符

5左敌、服務(wù)器端在提交數(shù)據(jù)庫進行SQL查詢之前，對特殊字符進行過濾俐镐、轉(zhuǎn)義矫限、替換、刪除佩抹。

代碼執(zhí)行叼风，文件讀取，命令執(zhí)行的函數(shù)都有哪些棍苹？

1无宿，代碼執(zhí)行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2，文件讀仁嗬铩：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

3孽鸡，命令執(zhí)行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

img標簽除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎坡垫？

src指定一個遠程的腳本文件梭灿，獲取referer

img標簽除了onerror屬性外画侣，并且src屬性的后綴名冰悠，必須以.jpg結(jié)尾，怎么獲取管理員路徑配乱。

1,遠程服務(wù)器修改apache配置文件溉卓，配置.jpg文件以php方式來解析

AddType application/x-httpd-php .jpg

會以php方式來解析

代碼審計

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

文件讀然　：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執(zhí)行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

繞過walf

1艰垂、關(guān)鍵字可以用%（只限IIS系列）。比如select脖旱，可以sel%e%ct忿檩。原理：網(wǎng)絡(luò)層waf對SEL%E%CT進行url解碼后變成SEL%E%CT尉尾，匹配select失敗，而進入asp.dll對SEL%E%CT進行url解碼卻變成select燥透。IIS下的asp.dll文件在對asp文件后參數(shù)串進行url解碼時沙咏，會直接過濾掉09-0d（09是tab鍵,0d是回車）辨图、20（空格）、%(后兩個字符有一個不是十六進制)字符肢藐。xss也是同理故河。

2、通殺的吆豹，內(nèi)聯(lián)注釋鱼的。安全狗不攔截，但是安全寶痘煤、加速樂凑阶、D盾等，看到/*!/就Fack了衷快，所以只限于安全狗晌砾。比如：/*!select*/

3、編碼烦磁。這個方法對waf很有效果养匈，因為一般waf會解碼，但是我們利用這個特點都伪，進行兩次編碼呕乎，他解了第一次但不會解第二次，就bypass了陨晶。騰訊waf猬仁、百度waf等等都可以這樣bypass的。

4先誉，繞過策略一：偽造搜索引擎

早些版本的安全狗是有這個漏洞的湿刽，就是把User-Agent修改為搜索引擎

5，360webscan腳本存在這個問題褐耳，就是判斷是否為admin dede install等目錄诈闺，如果是則不做攔截

1. GET /pen/news.php?id=1 union select user,password from mysql.user

1. GET /pen/news.php/admin?id=1 union select user,password from mysql.user

1. GET /pen/admin/..\news.php?id=1 union select user,password from mysql.user

6，multipart請求繞過铃芦，在POST請求中添加一個上傳文件雅镊，繞過了絕大多數(shù)WAF。

7刃滓，參數(shù)繞過仁烹，復(fù)制參數(shù)，id=1&id=1

用一些特殊字符代替空格咧虎，比如在mysql中%0a是換行卓缰，可以代替空格，這個方法也可以部分繞過最新版本的安全狗，在sqlserver中可以用/**/代替空格

8,內(nèi)聯(lián)注釋征唬，

文件上傳震叮，復(fù)制文件包一份再加一份

在 form-data;后面增加一定的字符

寬字符注入

寬字符：解 決方法：就是在初始化連接和字符集之后，使用SET character_set_client=binary來設(shè)定客戶端的字符集是二進制的鳍鸵。修改Windows下的MySQL配置文件一般是 my.ini苇瓣，Linux下的MySQL配置文件一般是my.cnf，比如：mysql_query("SETcharacter_set_client=binary");偿乖。character_set_client指定的是SQL語句的編碼击罪，如果設(shè)置為 binary，MySQL就以二進制來執(zhí)行贪薪，這樣寬字節(jié)編碼問題就沒有用武之地了媳禁。