VikashChoudhary-04/pentest-notes

# 📚 渗透测试笔记 在 60 天进攻性安全路线图期间开发的结构化渗透测试知识库。 本仓库专注于方法论、漏洞逻辑、风险评估和修复策略 —— 而不仅仅是漏洞利用。 ## 🎯 目标 深入理解以下内容： * 漏洞根本原因 * 漏洞利用逻辑 * 业务影响分析 * 风险评分 (CVSS) * 安全修复设计 ## 📂 知识领域 ### 01-Networking 进攻性安全所需的核心网络基础。 ### 02-Recon 被动和主动侦察方法论、攻击面映射以及服务分析。 ### 03-SQL Injection Union-based、Boolean-based 和 Time-based 注入逻辑及其预防技术。 ### 04-XSS Reflected、Stored 和 DOM-based 跨站脚本攻击 (XSS) 及 CSP 注意事项。 ### 05-Access Control IDOR、权限提升、水平和垂直授权缺陷。 ### 06-File Attacks 文件上传漏洞、Local File Inclusion、路径遍历以及链式攻击。 ### 07-Authentication 密码重置弱点、OTP 暴力破解风险、MFA 绕过逻辑。 ### 08-API Security BOLA、过度数据暴露、速率限制失效。 ### 09-JWT Token 结构、声明 (claim) 操作风险、标头配置错误。 ### 10-Burp Suite Repeater、Intruder 和扩展程序的实用工作流。 ### 11-Reporting 专业渗透测试报告结构和 CVSS 评分方法论。 ## 🧠 理念 本仓库强调： * 像攻击者一样思考 * 像顾问一样记录 * 像安全专家一样评估风险 ## ⚠️ 免责声明 所有知识均源自授权实验室和合法环境。

标签：API安全, BOLA, Burp Suite, CISA项目, CSP策略, CVSS评分, GitHub, GitHub Advanced Security, HTTP安全, IDOR, JSON输出, JWT安全, MFA绕过, PE 加载器, PoC, Ruby, Web安全, 内核驱动, 多线程, 安全加固, 安全报告, 实战笔记, 密码管理, 攻击面 mapping, 教育, 数据展示, 文件包含漏洞, 暴力破解, 渗透测试方法论, 漏洞修复, 漏洞分析, 白盒测试, 知识库, 笔记, 红队, 网络协议, 网络安全, 网络安全培训, 蓝队分析, 认证绕过, 越权访问, 路径探测, 路径遍历, 防御加固, 隐私保护, 风险评级