web应用程序指识别中的指纹收集

最新推荐文章于 2024-08-17 20:06:24 发布
最新推荐文章于 2024-08-17 20:06:24 发布
阅读量7k 收藏 9
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houguan1/article/details/46675095
版权

web应用程序指纹识别是入侵前的关键步骤,如果通过指纹识别能确定web应用程序的名称及版本,下一步即可在网上搜索已公开的漏洞,或网上搜到其源代码然后进行白盒的漏洞挖掘。

指纹识别的核心原理是通过正则表达式匹配特征码或匹配文件的md5值,收集指纹的主要原则是程序独有的不会因环境和配置不同而改变的特征。


指纹主要从HTTP数据包中的以下内容提权:


1、指定路径下指定名称的js文件或代码。
2、指定路径下指定名称的css文件或代码。
3、<title>中的内容,有些程序标题中会带有程序标识,但不是很多。
4、meta标记中带程序标识<meta name="description"/><meta name="keywords"/><meta name="generator"/><meta name="author"/><meta name="copyright"/>中带程序标识。
5、display:none中的版权信息。
6、页面底部版权信息,关键字&copy; Powered by等。
7、readme.txt、License.txt、help.txt等文件。
8、指定路径下指定图片文件,如一些小的图标文件,后台登录页面中的图标文件等,一般管理员不会修改它们。
9、注释掉的html代码中<!--
10、http头的X-Powered-By中的值,有的应用程序框架会在此值输出。
11、cookie中的关键字
12、robots.txt文件中的关键字

坚持收集各种程序的指纹,然后添加进自己写的扫描器,效果很强大。

houguan1
关注
【网络安全 | 信息收集指纹识别工具WhatWeb使用详析
等风来
12-27 5615
WhatWeb 是一款用于识别 Web 应用程序Web 服务器的开源工具。它可以识别网站使用的编程语言、Web 框架、Web 服务器软件、Web 应用程序等信息,从而帮助安全测试人员快速了解目标网站的技术特征,发现可能存在的漏洞。本文将对 WhatWeb 的使用方法进行讲解。
web指纹识别插件
09-18
web指纹识别插件,拉进谷歌浏览器即可使用,可识别服务器类型,使用脚本类型,使用什么开发框架,使用哪些通用模板等等,渗透必备神器
【超详细的WEB指纹识别
最新发布
m0_62373986的博客
08-17 903
网站的指纹信息是一种对目标网站的识别技术,通过识别网站所使用的服务器、运行的脚本、安装的CMS等信息对目标进行精准的分类和定位。这有助于安全研究人员在安全测试快速了解目标网站的基本信息,以搜索相关漏洞。
web信息收集----网站指纹识别
七天
07-11 7195
内容管理系统(Content Management System,CMS),是一种位于WEB前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里的“内容”可能包括文件、表格、图片、数据库的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。不同的CMS具有各自的命名规则和特定的文件内容。
【信息收集指纹识别
m0_46344990的博客
06-05 2747
指纹收集是信息收集非常重要的一个环节,通常包括系统,间件,web程序,防火墙四个方面。比如在web程序指纹的cms识别可以直接查找已有的漏洞进行利用,其他方面也都有助于下一步的攻击操作。先来几个在线工具:yunsee.cn-2.0在线指纹识别,在线cms识别小插件--在线工具TideFinger 潮汐指纹 TideFinger 潮汐指纹(1)使用工具nmap -O ip命令对目标主机进行识别,通过tcp/ip数据包发到目标主机,每个操作系统对处理tcp/ip包不同,通过差异来识别主机操作系统,还有其他工
4.1.8- Web 应用程序使用的组件进行指纹识别
qq_44232452的博客
09-13 737
毫不夸张地说,几乎所有可以想象的Web应用程序的想法都已经投入开发。随着全球大量自由和开源软件项目的积极开发和部署,应用程序安全测试很可能会遇到完全或部分依赖于这些知名应用程序或框架(例如WordPress,phpBB,Mediawiki等)的目标。了解正在测试的 Web 应用程序组件有助于测试过程,并且还将大大减少测试期间所需的工作量。这些众所周知的 Web 应用程序具有特定的 HTML 标头、Cookie 和目录结构,可以枚举这些标头、cookie 和目录结构来标识应用程序
轻量WEB指纹识别.rar
01-29
这里的“轻量WEB指纹识别的是针对Web应用的一种轻量级的识别方法,它旨在通过收集和分析少量的信息来确定Web服务器、应用程序以及其运行环境的具体特征。下面将详细介绍这个主题的相关知识点。 1. **Web指纹...
御剑WEB指纹识别.rar
01-29
"御剑WEB指纹识别"这个标题的是一个专门用于Web应用程序指纹识别的工具或技术。在网络安全领域,尤其是渗透测试指纹识别是确定目标系统类型、版本和配置的重要步骤。"御剑"可能是这个工具的名字,暗示其具有...
御剑WEB指纹识别
05-30
这个“指纹”就像人的DNA一样,能够独特地标识出每一个Web服务器,帮助用户准确地识别出目标服务器所使用的Web服务类型、版本信息,甚至操作系统和其他应用软件的版本。 御剑WEB指纹识别系统正式版的使用方法相对...
java web指纹采集_Web指纹识别的介绍与编写
weixin_39808893的博客
03-07 1755
一、 前言Web指纹Web服务组件在开发时留下的对其类型及版本进行标识的特殊信息,包括Web服务器指纹Web运用指纹以及前端框架指纹等。在Web安全测试过程收集Web指纹信息也是一个比较重要的步骤;在安全运营过程,通过指纹识别识别资产的Web信息,这样能更加了解整个资产存在哪些方面的威胁,然后对症检测修补。网络上开源的Web指纹识别程序很多,如Wappalyzer,Whatweb, wp...
基于指纹分析的Web服务探测技术 (2005年)
05-26
准确掌握Web服务器的版本信息对于顺利进行计算机网络系统安全评估具有重要意义。该文通过banner分析了探测Web服务器版本信息的常规方法的局限性。介绍了通过指纹分析探测Web服务器版本信息的原理,以及Web服务器指纹信息的结构组成。给出了进行指纹匹配的算法模型和算法流程。通过实例验证了指纹分析方法在探测Web服务器版本信息方面的优越性。
web指纹识别
土拨鼠挖洞中的博客
10-04 3059
web指纹识别的核心原理是通过正则表达式匹配特征码或匹配文件的md5值等特殊信息,进而识别web应用程序的名称和版本,收集信息,以备攻击
网络攻防之——指纹识别工具
The__Apollo的博客
03-18 5986
banner抓取: 最基础,最简单的指纹识别。例如一个网站,下面写着powered by discuzl,说明这个网站使用discuzl制作的。如果一个网站使用的是php,则它通常会在banner上加上php和一个版本号。命令使用如下 curl用来爬取网站,-I是只抓取返回的http协议的header头 常规主动指纹识别的工具 Nmap,相关操作之前有介绍了,这里有一个使用范例 被动指纹识别工具
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 973
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
36.网络安全渗透测试—[信息收集篇5]—[WEB信息探测之WEB指纹识别&WEB后台扫描]
qwsn
08-05 2546
WEB信息探测的作用:指纹/后台
渗透测试 | 指纹识别
尼泊罗河伯的博客
05-25 1925
在渗透测试指纹识别是一种不可小觑的技术,它可以用来识别目标系统、应用程序、操作系统等。通过识别目标网站的指纹,可以得到系统结构以及潜在的攻击面,那么渗透测试人员就可以通过这个攻击面对目标站点进行严密的渗透测试。
2019测试南-web应用程序安全测试(二)指纹Web服务器
weixin_33854644的博客
03-04 216
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值