流程

  1. 代码扫描验证
  2. 手动看
    1. 配置文件
    2. 拦截器
    3. 路由(接口)逻辑 -> 参数在后端怎么处理的

辅助: chatGPT

思路

  1. 和黑盒挖掘类似,思考这个功能的逻辑可能会产生哪些问题,不同的就是可以确认后端代码的执行逻辑,不用靠自己去猜
  2. 同时提供了代码和测试环境,可以先黑盒为主白盒为辅同步看,然后再白盒看有没有没覆盖到的(漏掉的)接口进行分析
Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2024-09-07 09:50:47

results matching ""

    No results matching ""