本次测试目标为某在线网站:
特殊要求-不能采用自动化扫描工具,所以工作用纯手工完成,切入点为网站代码分析,通过编写和使用离线工具进行辅助研究。
1.通过百度百科、百度知道、其它网页等大概了解所渗透网站的所属企业的情况,包括但不仅限于:该企业的资产规模、员工数量、IT高手、经营范围与合作伙伴、管理层人员和员工信息等,以及过往的安全事件报告、其余人的网站评估等。
2.收集信息,IP地址、域名、网络管理人员、公司内部和相关人员的手机号码、邮箱、生日、星座等信息,建立数据库。
3.打开网站首页,用F12开发工具查看分析代码,同时将代码复制到本地文件。
4.用自制工具查找漏洞。
1.检索该文件是否是PHP文件
<\\?php.*?\\?>
2.匹配所有链接和函数名
3.将网页文件从新排版