某棋牌渗透测试前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 一、信息收集 这里通过fofa进行收集,语法为:body=某棋牌 && title=xxx 图1-1 fofa资产收集 二、漏洞挖掘 通过手工及AWVS测试站点 手工测试发现弱口令 admin/admin成功进入后台 图2-1 棋牌后台 查看相应功能点 图2-2 棋牌用户 图2-3 棋牌控制 AWVS测试发现Sql注入 图2-4 AWVS高危漏洞 三、漏洞利用 由于手工进入后台无法g