渗透测试大多是借助工具(自己写的,或者开源的)混合手工测试以及各种技巧,再加上一些天马行空的想法(可以把开发者当做傻子/偷笑/偷笑),一步一步获取到自己需要的信息或资源。很多渗透工具都可以通过网络下载来使用,但是工具是死的,因此需要学会打破自己的固定思维,或者适当放松下,然后换个思路来进行。另外需要灵活借助现有的搜索引擎,来获取一定的线索。
ISA TEST
一、游戏相关
1.1 地址
https://www.helloisa.com/test/index.php
1.2 建议
二、第一关
2.1 涉及相关知识点
利用浏览器自带的查看页面源代码即可。
2.2 渗透基础技巧
通过该方式可查看页面中泄露的相关敏感信息,如注释信息中含有登录口令,隐藏控件中包含敏感数据等。
2.3 关卡通关演示
第一关
从提示中可以发现,密码就藏于页面中,通过查看页面源代码即可获取通关密码。
第一关通关密码
2.4 实例扩展
但你进入一个系统时,如果发现有*号的地方,可以直接查看一下页面源代码,可能在页面源代码里面的value就是明文显示的,没有任何的模糊处理。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。