WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。
比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。
1、WEB 源码目录结构
index.asp 根据文件后缀名判断
admin 网站后台路径
data 数据相关的目录
install安装相关的目录
member 会员相关的目录
template 模板目录(和网站的架构有关)
includes/conn/config 重要!!数据库配置文件(密码)可能在里面
找到数据库密码的实例
2、Web源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题
手册链接: