岗位职责：1、客户对接，工具部署，报告编写等；2、项目实施，包括但不限于渗透测试、APP测试、小程序测试、漏洞扫描等。任职要求：1、大专及以上学历，计算机相关专业；2、熟悉渗透测试流程，能独立开展渗透测试工作；3、熟悉OWASP TOP 10，熟悉sql注入、XSS、反序列化漏洞、常见组件漏洞、系统漏洞等漏洞原理与攻击及防护方式；4、熟练掌握kali、awvs、xary、goby、burpsuit

首先进入靶场访问https://域名:9090/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp出现上图所示的日志泄露即可确定漏洞存在接下来bp抓包，在重发器里填入以下数据包内容：GET /setup/setup-s/%u002e%u002e/%u002e%u002e/user-create.jsp?csrf=xxxxx&usernam

首先找到目标网站（子域名爆破，fafo之类的）  测试弱口令爆破是否存在 ![](https://nc0.cdn.zkaq.cn/md/3529/20220526/8c9f5450-a4