1.建议大家多使用googlehack. 
 
 2.2003的域名解析漏洞大家不陌生吧，曾经把动易搞得人人自危，其实不光是动易，现在很多门户站都可以利用，在注册时注册个***.asp的用户，然后在个人属性中就可以上传图片木马了. 

 3.上传，这个我以前说过，在上传时，遇到无法上传图片时可以试下asa (后面有空格)，cer只类的，或者查看源代码，看是否有调用javascript只类的验证，将其删除保存至本地提交。（这个方法对2点注册的时候也有效），或者采用gif89a欺骗，就是在木马图片的第一行上写插入这个 

 4.对于搞不定的站点，找同网段下的站点然后ARP 

 5.别小看XSS，如果能运用的好，绝对是最棒的入侵方法！ 

 6.多看源代码，如果发现有限制的script脚本，立即删除，本地提交。 

 7.多抓包，了解网站大概的数据流 

 8.搜索型注射也是一个很不错的方法。。。（前提是，你得遇到）