[email protected]

江苏省南京市江宁区胜太路99号南岸瑞智8栋606

1、SQL注入：通过在站点的数据查询点、登录点、访问点等处构造sql注入payload，判断是否存在SQL注入漏洞。

2、跨站脚本：通过站点的表单提交处、客服或后台留言处、个人信息资料处、搜索栏处、头像处以及URL参数等地方插入XSSpayload，判断是否存在跨站漏洞。

3、文件上传：通过上传点测试是否做了黑白名单机制，并且机制是否能够被抓包修改绕过。

4、文件包含：通过文件包含可以查看敏感信息。

5、命令执行：测试站点程序是否存在通过访问站点执行系统命令，从而导致系统、服务器被控制的可能性。

6、未授权访问：是否存在没有认证可以直接访问需要认证的页面或文本信息。

7、越权访问：是否存在用户A是否能够访问用户B的数据的情况。