RMC131的博客

信息收集主要内容：服务器配置信息、网站敏感信息。其中包括：域名及子域名信息、目标网站系统、CMS指纹、目标网站的真实IP、开放端口等。。

Burp Suite是一款集成化的渗透测试工具，包含很多功能，基于java编写，跨平台使用更方便，它不是自动化测试工具，需要手动配置参数才能工作。有一点，一定是专业版的Burp Suite。安装基本流程就是：java安装，环境变量配置，双击使用。

SQL注入就是指web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数带入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库里的任意操作。

Metasploit是当前信息安全于渗透测试领域最流行的术语，它完全颠覆了 已有的渗透测试方式。几乎所有操作系统都支持Metasploit，而且Metasplooit框架在这些系统上的工作流程基本都一样。Metasploit框架（Metaaploit Framework，MSF）使一个开源工具，旨在方便渗透测试，它是由Ruby语言编写的模板化框架，具有很好的扩展性，便于测试人员开发、使用定制的工具模板。Metasploit可向后端模块提供多种用来控制测试的接口（如控制台、Web、CLI）。