1.收集资产 (子域名,小程序,等)
2.一般从分站入手,比如测试站点,从测试站通过弱口令爆破(密码喷洒),接口泄露等 进入后台,看是否有文件上传,文件包含等利用点,能上传webshell,从而拿到网站源码
3.代码审计,找到可利用的点,对主站进行渗透
4.或者可以找到AK,SK,等等 都可以进行利用
