步骤一：选目标

1. 不建议太小的公司（可能都是请别人来开发的，用现成成熟的框架）

2. 不建议一线大厂：腾讯，字节，阿里等，你懂的

3. 不建议政府部门，安全设备多，每年有护网，报警你就死

建议：找上市公司与子公司，有开发人员，就有漏洞

重点：先在天眼查那些找域名

所有上市公司链接：上市公司大全

子公司：在官网上找

步骤二：优先找登录入口

1. 用户名枚举

2. 寻找关键信息，看看官网有没有一些文章发布人的姓名，然后使用工具枚举账号，枚举成功后拼接密码尝试登录

3. 寻找针对性账号信息，比如：请用学生号登录，请用公司名称登录之类的

4. 手机号枚举，先选移动，电信，联通的号码段，然后看公司地区进行枚举（多人用的大公司后台才建议枚举，小公司的后台就不建议了）

5. 枚举建议用10个线程来跑，比较少概率封IP

6. 弱口令字典1000个左右就可以了（反而用户名要多一点）

7. 看一下有没有系统操作手册可以有测试账户信息，提供新的枚举思路

8. 验证码绕过：去掉验证码，留空验证码，重复利用验证码，万能验证码（0000,9999……）

9. 爆破验证码：4位验证码的话可以直接爆破

10. 爆破密码：有md5的话，可以在burp设置自动加上MD5        

11. 爆破API：如果出现这种接口，就要思考为什么有V2，是不是V1版本接口有漏洞？

12. 爆破数据包参数：accountTypeEnum的值为PHONE，当前是手机号登录，能不能替换成别的呢？比如：NICKNAME，ANY，MAIL等等

13. 文件枚举 -> 递归枚举

14. 文件后缀名枚举：既然有 login.t ，会不会有其他 passwd.t 的文件呢？

15. js信息收集

16. js代码还原：source map

17. 利用grepWin工具可以搜索js代码还原后的一些关键词

18. 接口提取，JSFinder工具

19. 观察接口报错，灵活处理，比如填写所需参数

20. 小程序，反编译处理，获取前端代码，可以用js-beautify工具美化

21. 垂直越权，只要通过了拦截器的校验，就可以用普通用户的身份随意调用root权限的接口

22. 垂直越权2，比较容易出高危，比如商城有这个用户，但是订单管理后台没有这个用户，拿着token都能登录成功

23. SQL注入：预编译防御对 order by 后的位置是不起作用的，原理文章：https://blog.csdn.net/hrayha/article/details/121941302

price, if((1=1),1,(select 1 union select 2))
price, if((1=2),1,(select 1 union select 2))

1=1 的时候正常返回数据，1=2 的时候，服务器报错

然后sqlmap一把梭

24. 教育src，搜索学号

site:xxx.edu.cn 学号

25. 修改返回数据包，得到不一样的角色，比如返回的是学生，改成老师，那么功能就多起来了，可以现在前端寻找js代码里面有的角色名

26. burp测试ssrf漏洞

27. 把渗透过程中的信息都记录下来