【小迪安全day04】WEB 源码拓展--web源码目录、脚本类型、应用分类、cms识别

最新推荐文章于 2023-12-22 15:50:21 发布
最新推荐文章于 2023-12-22 15:50:21 发布
阅读量293 收藏 1
点赞数
分类专栏: 网安学习 文章标签: 安全 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RichUee/article/details/128024190
版权

WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。

比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。
在这里插入图片描述

1、WEB 源码目录结构

index.asp 根据文件后缀名判断
admin 网站后台路径
data 数据相关的目录
install安装相关的目录
member 会员相关的目录
template 模板目录(和网站的架构有关)
includes/conn/config 重要!!数据库配置文件(密码)可能在里面

找到数据库密码的实例
在这里插入图片描述

2、Web源码脚本类型

ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题
手册链接:

最低0.47元/天 解锁文章
RichUee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【小安全学习笔记】基础入门-Web拓展
Akrios的博客
05-14 974
前言:Web码在安全测试中是非常重要的信息来,可以用来代码审计漏洞也可以用来做信息突破口,其中Web码有很多技术需要简明分析。比如:获取某ASP码后可以采用默认数据库下载为突破,获取某其他脚本码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之码的获取将为后期的安全测试提供了更多的思路。 知识点: 关于Web目录结构 数据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径 data 数据相关目录 install 安装目录 member
[DB Script] Pl/Sql 脚本汇总
shanling2004的专栏
12-16 540
         最近做的项目,需要自己建db schema,从头建起,正好学习一下这方面的知识。         目前开发的lombardi框架很难将多个dml操作封装在一个transaction里,所以迫使我只能用sql拼接多个dml操作。代码如下:begin insert into ACCTR_ACCTR(ticket_id,status,priority,title,assignee,requester,description,date_submitted,notified_type,reque
安全--xss跨站脚本攻击
wcwdnmdnmd的博客
08-24 669
xss跨站脚本攻击xss原理 xss原理 它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。 ...
【小安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防35-40-XSS、CSRF、SSRF)
qq_46343633的博客
12-22 1046
1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS1、原理指改击者利用网程序对用户输入过不足,端入可以量示在页面上对其他用尸道成影响的HTML代码,从而盗取用户资料、利用用户具份进行某种动或者对访问者进行病毒侵害的一种攻击方式,通过在用户端注入恶意的可执行脚本,若服务器时用户的第人不进行处理或处理不严,则浏览器就会夏接执行用户注入的脚本。反馈与浏览。
安全笔记,详细版本
01-23
安全笔记,详细版本,巨细无比
毕业设计-基于监督学习的web入侵检测系统码.zip
05-25
毕业设计—基于监督学习的web入侵检测系统码.zip 毕业设计——基于监督学习的web入侵检测系统(0day收集器) 机器学习方面 用的技术比较low,只是scikit-learn里面的svm用了一下,开始的时候用knn来着,当现在...
[红日安全]AI安全Day1-机器学习算法在web安全中的应用1
08-08
2、机器学习的最简要素成功的机器学习有四个要素:数据、转换数据的模型、衡量模型好坏的损失函数和一个调整模型权重来最小化损失函数的算法 3、常见的几种机器学习算法
毕业设计-基于监督学习的web入侵检测系统码(代码全面).zip
03-13
毕业设计-基于监督学习的web入侵检测系统码(代码全面).zip基于监督学习的web入侵检测系统(0day收集器) ##机器学习方面 用的技术比较low,只是scikit-learn里面的svm用了一下,开始的时候用knn来着,当现在样本...
商业编程-码-对话框代码 tip_of_the_day_source.zip
06-22
商业编程-码-对话框代码 tip_of_the_day_source.zip
微信小程序学习day1-30
最新发布
04-23
适用人群:本码是学习微信小程序day1-30的码,需要具备一定前端编程基础。以及想要复习或者自学微信小程序的小伙伴。开启新的征程,记录最美好的时刻,每天进步一点点。 能学到什么:1、微信小程序基础知识;2、...
website:网站代码目录
03-23
website:网站代码目录
2020全年小网络安全笔记(目录
热门推荐
u013630181的博客
06-09 1万+
2020小网络安全 课程体系/目录: 2020上半年70天 基础入门…第1天 信息收集…第2-3天 漏洞分类…第4天 漏洞发现…第5天 漏洞利用…第6-28天 安全开发…第29-38天 代码审计…第39-43天 权限提升…第44-50天 内网安全…第51-56天和第59天 大赛特训…第67-70天 实例任务…第57-58天和第63-66天 应急响应…第60-62天 其他补充… 2020下半年86天 基础入门…第1-6天 信息收集…第7-10天 WEB漏洞…第11-39天 JAVA安全…第40-41天 漏洞
2021-09-06
qq_2604939074的博客
09-06 305
基础入门-数据包拓展 HTTP/HTTPS 具体区别?(Https更加安全) Request 请求数据包数据格式 1.请求行:请求类型/请求资路径、协议的版本和类型 2.请求头:一些键值对,浏览器与web 服务器之间都可以发送,特定的某种含义 3.空行:请求头与请求体之间用一个空行隔开; 4.请求体:要发送的数据(一般post 提交会使用);例:user=123&pass=123 请求行:请求行由三个标记组成:请求方法、请求URL 和HTTP 版本,它们用空格分享。 例如:GET /in
安全2023学习笔记
qq_63484934的博客
11-09 1018
这个也不是很准确,有可能一个值都对不上,但是可以依据自己ping出来的TTL值和上面对应看看比较相近的进行判断。windows不区分大小写,可以修改url中的字母的大小写,然后回车执行查看,页面有没有发生变化。Windows NT/2000/XP系统的TTL值为128,Windows 98系统的TTL值为32,Linux系统的TTL值为64或255,查看网站/博客是什么语言可从以下入手。UNIX主机的TTL值为255。不是看到了希望才去坚持。Linux区分大小写。而是坚持了才看到希望。
【小安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记(WEB攻防18-23)
qq_46343633的博客
11-29 1015
1、ASP环境搭建组合2、ASP-数据库下载&植入3、IIS-短文件&解析&写权限WEB安全攻防:1、Weo码2、开发语言3、中间件平台4、数据库类型4、第三方插件或软件。
【小安全】第04天:基础入门-WEB拓展
想努力,想追上在前面的人
01-31 195
在对站点进行测试的时候,首先要明确站点是否有框架,以及辨别是何种框架、获取码。
安全|第08天:信息收集-架构,搭建,WAF等
欢迎相互探讨交流知识呀~
09-24 1060
笔记
2、CMS识别
weixin_41489908的博客
11-18 4833
打开一个网站,我们可以先看一下该网站的CMS, 推荐使用在线工具: http://whatweb.bugscaner.com/look/ http://www.yunsee.cn/finger.html 也可以手动分析数据包地址的路径,然后百度关键目录,就可以基本判断 禁止非法,后果自负 ...
渗透测试-基础入门-web拓展_4
weixin_51446936的博客
06-27 929
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 web码在安全测试中是非常重要的信息来,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB码有很多技术需要简明分析。 比如:获取ASP码后可以采用默认数据库下载为突破,获取某其他脚本码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之码的获取将为后期的安全测试提供了更多的思路 二、知识点 2.1 关于WEB目录结构 注:这里以“BEESCMS企业网站管理系统”的码为例 • admin---------------------
Error reading file D:/javaEE-web-pro/day01moudle/pom.xml maevn
05-20
这错误提示是说在读取 `D:/javaEE-web-pro/day01moudle/pom.xml` 文件时出现了问题,可能是该文件不存在或者无法被访问。 首先,你需要确认文件路径的正确性。检查该文件是否位于指定路径下,并且确保路径中不包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值