Pentest Treasure 测试所有的,只关注有效的。 RFC阅读 推荐 @pen4uin @reidmu @Jeromeyoung 📚渗透测试技能基础【自我总结&前人经验】 📘:一份知识大全 📘:HTTP 📘:HTTP2 📘:文件上传 📘:文件包含 📘:SQL注入 📘:XSS 📘:前端解密案例 📘:FUZZ大法1 & FUZZ大法2 By @gh0stkey 📖渗透测试CheckList【葵花宝典】 📜:Google Hacking 📜:扩大攻击面 📜:Let's go! 📜:干掉验证机制 📜:干掉会话管理机制 📜:测试文件上传 📜:输入点要注入 📜:Web编辑器 📜:越权测试 TODO App测试、vx小程序测试 🧐Web攻击技术【高级技巧&利用】 ☠:Web缓存投毒 检查响应包中有无类似标签这种,能控制整个页面静态资源的base href。尝试通过修改request Header(如XFH)观察响应url是否可控。 ☠:Web缓存欺骗/中毒 ☠:HTTP Smuggling ☠:腾讯云服务器攻防(CVM+轻量应用服务器) ☠:👆的实战案例:印象笔记SSRF ☠:LDAP注入与防御剖析 ☠:Node.js 常见漏洞 ☠:Nginx反向代理带来的攻击面 Webshell之后【慢慢补充】 ☠:Linux提权