可乐.的博客

信息收集：我们可以尝试的突破点、收集当前目标的资产信息、从收集的资产信息里分析攻击点、有没有其他网站、端口上有没有其他服务、服务上面有没有其他协议服务、服务上存不存在安全漏洞、安装了一套程序还是多个程序、多个程序哪些出现过漏洞。（一个网站服务器部署多个程序、两个网站对应一个服务器，当你对一个网站测试没有信息时、可以对另一个进行等同测试）考虑阻碍-站库分离&CDN&WAF&负载均衡&主机防护。 考虑阻碍-站库分离&部署防护&负载均衡&CDN 等。资产架构-端口&目录&插件接口&多站点&多应用。

PHP：乱码，头部有信息（作用：后期代码审计，遇到加密的代码需要解密、CTF考、自己加密程序版权、安全测试绕过WAF：可以把后门代码加密，WAF不能识别就可以绕过）总结：取到密文，解密不出来的情况，一个是对方加密确实太严格，或者不是该类型的加密，搞错了加密算法。MD5，SHA，ASC，进制，时间戳，URL，BASE64，Unescape，AES，DES 等。直接加密，带 salt，带密码，带偏移，带位数，带模式，带干扰，自定义组合等。2、掌握常见的加密解密编码解码进制互转的操作（知道或者有什么方式能解密）

小迪安全2022年学习笔记、第3天：基础入门-抓包&封包&协议&APP&小程序&PC应用&WEB应用

小迪安全2022年学习笔记、第2天：基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器

小迪安全2022年学习笔记、第1天：基础入门-操作系统&名词&文件下载&反弹SHELL&防火墙绕过