1.获取网站的ip
2.同IP网站查询 ,查询该IP下有几个网站
3.找网站的DNS记录 https://who.is/ ,https://whois.aliyun.com 或其他网址 (寻找注册时的电话,邮箱,地址,联系人,等)
4,确定网站的服务器种类及版本 , kali linux下whatweb命令,或其他
5,漏洞寻找
nikto# perl nikto.pl -h hack-test.com
w3af# ./w3af_gui (w3af安装教程http://blog.csdn.net/weixin_37224075/article/details/78215791?locationNum=10&fps=1)
6.利用所学进行漏洞利用
-------------------------------------------------------------------
常见漏洞列表
Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年首创的。 是一种视觉欺骗手段.
xss
sql注入