关于web源码
web源码是代码审计漏洞的重要信息突破口,主要知识点包括目录、脚本、应用等。
web目录结构:
分为后台目录、模板目录、数据库目录、数据库配置文件。
脚本类型:
主要包括ASP、PHP、ASPX、JSP、JAVAWEB、Python。
应用分类:
门户对应综合类漏洞,电商对应业务逻辑漏洞,论坛对应XSS逻辑漏洞、博客漏洞较少、第三方主要根据功能决定。
补充内容包括框架和非框架、CMS识别、开源或内部的漏洞审计和测试。
web源码中的关键文件
后台路径,数据库配置文件,备份文件
后台:通常指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。
在安全测试中,后门开源更方便的连接到主机,在获得到主机权限时,后门开源充当命令控制台的角色。
我们需要注意的是后门是否给予权限,是否给予操作目录或文件权限,是否给予其他用户权限。
参考资料:
公众号 0x00实验室,感兴趣建议去看推文