src挖掘-教育行业平台，规则，批量自动化

src挖掘-教育行业平台，规则，批量自动化
1.平台：
  cnvd漏洞平台，盒子，补天
2.教育平台src-批量
  用最新漏洞去测试
3.只收前端打入的漏洞平台-针对闭源系统
  先getshell,再进行白盒测试

得到源码后：
  寻找web.config,看配置文件或源码，找asmx结尾的文件
  asmx是web服务文件。属于b/s形式，用soap方式http访问，用xml返回
  有asmx丢到awvs里
  js也可以爆破

拿下cnvd证书-src
1.下载网上开源PHP代码，搭建后发现漏洞如弱口令->进行批量测试Python
2.seay审计 
  admin目录下的漏洞需要权限才能利用，可以先不看

3.工具dnspy
  可以把网站源码封装于.dll文件中的还原为源码。
  .jar   ->  intellij
  .dll   ->  dnspy
  .net  ->  idea

4.无源码情况下，js接口数据提交测试模拟
  -jsfinder工具，手工，扫描
  getjs 工具