【小迪安全学习笔记】基础入门-Web源码拓展

最新推荐文章于 2024-05-07 22:09:42 发布
最新推荐文章于 2024-05-07 22:09:42 发布
阅读量979 收藏 7
点赞数 6
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55227191/article/details/116804100
版权

前言:Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。
在这里插入图片描述

知识点:

关于Web源码目录结构
数据库配置文件,后台目录,模板目录,数据库目录等
index.php 根据文件后缀判定
admin 网站后台路径
data 数据相关目录
install 安装目录
member 会员目录
template 模板目录(和网站相关的整体架构)
data => confing.php 数据库配置文件,网站和数据库的通讯信息,连接账号密码,可以去连接对方数据库,从数据库去得到这个网站的源码里面涉及到的管理员的账号密码。

关于Web源码脚本类型

ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题
关于Web源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞
开源,未开源问题,

最低0.47元/天 解锁文章
Akriosx
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[DB Script] Pl/Sql 脚本汇总
shanling2004的专栏
12-16 541
         最近做的项目,需要自己建db schema,从头建起,正好学习一下这方面的知识。         目前开发的lombardi框架很难将多个dml操作封装在一个transaction里,所以迫使我只能用sql拼接多个dml操作。代码如下:begin insert into ACCTR_ACCTR(ticket_id,status,priority,title,assignee,requester,description,date_submitted,notified_type,reque
小迪安全--xss跨站脚本攻击
wcwdnmdnmd的博客
08-24 673
xss跨站脚本攻击xss原理 xss原理 它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。 ...
小迪安全学习笔记图片在我电脑里
最新发布
05-07 853
账号:<input type="text" name="user">密码:<input type="password" name="pass">//admin888</form>phpinclude("config/conn.php")//目录是blog/config/,blog下是根目录$username。
小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记WEB攻防35-40-XSS、CSRF、SSRF)
qq_46343633的博客
12-22 1217
1、XSS跨站-原理&攻击&分类等2、XSS跨站-反射型&存储型&DOM型等3、XSS跨站攻击手法&劫持&恣取凭据等4、XSS跨站-攻击项目&XSS平台&Beef-XSS1、原理指改击者利用网程序对用户输入过不足,端入可以量示在页面上对其他用尸道成影响的HTML代码,从而盗取用户资料、利用用户具份进行某种动或者对访问者进行病毒侵害的一种攻击方式,通过在用户端注入恶意的可执行脚本,若服务器时用户的第人不进行处理或处理不严,则浏览器就会夏接执行用户注入的脚本。反馈与浏览。
小迪安全笔记,详细版本
01-23
小迪安全笔记,详细版本,巨细无比
2020全年小迪网络安全笔记(目录)
热门推荐
u013630181的博客
06-09 1万+
2020小迪网络安全 课程体系/目录: 2020上半年70天 基础入门…第1天 信息收集…第2-3天 漏洞分类…第4天 漏洞发现…第5天 漏洞利用…第6-28天 安全开发…第29-38天 代码审计…第39-43天 权限提升…第44-50天 内网安全…第51-56天和第59天 大赛特训…第67-70天 实例任务…第57-58天和第63-66天 应急响应…第60-62天 其他补充… 2020下半年86天 基础入门…第1-6天 信息收集…第7-10天 WEB漏洞…第11-39天 JAVA安全…第40-41天 漏洞
2021小迪web安全笔记全套.zip
08-16
安全圈子知名讲师 小迪 2021最新教学的课堂笔记 教程还是挺不错的,很好入门。教程也比较新,有新的waf绕过方法以及代码审计,还有新的工具和渗透思维。
Web安全学习笔记-Web-Sec Documentation
01-30
Web安全学习笔记——Web-Sec Documentation是一份详细的知识库,旨在帮助读者理解并掌握Web安全相关的理论和技术。文档首先从Web技术的演化、网络攻防技术的发展以及网络安全观的演变三个方面进行阐述,让读者对Web...
小迪基础渗透笔记0-24天
05-18
小迪基础渗透笔记0-24天
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于Web的云的学习笔记系统设计与实现-java代码
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
2021-09-06
qq_2604939074的博客
09-06 310
基础入门-数据包拓展 HTTP/HTTPS 具体区别?(Https更加安全) Request 请求数据包数据格式 1.请求行:请求类型/请求资源路径、协议的版本和类型 2.请求头:一些键值对,浏览器与web 服务器之间都可以发送,特定的某种含义 3.空行:请求头与请求体之间用一个空行隔开; 4.请求体:要发送的数据(一般post 提交会使用);例:user=123&pass=123 请求行:请求行由三个标记组成:请求方法、请求URL 和HTTP 版本,它们用空格分享。 例如:GET /in
website:网站源代码目录
03-23
website:网站源代码目录
小迪安全2023学习笔记
qq_63484934的博客
11-09 1084
这个也不是很准确,有可能一个值都对不上,但是可以依据自己ping出来的TTL值和上面对应看看比较相近的进行判断。windows不区分大小写,可以修改url中的字母的大小写,然后回车执行查看,页面有没有发生变化。Windows NT/2000/XP系统的TTL值为128,Windows 98系统的TTL值为32,Linux系统的TTL值为64或255,查看网站/博客是什么语言可从以下入手。UNIX主机的TTL值为255。不是看到了希望才去坚持。Linux区分大小写。而是坚持了才看到希望。
小迪安全】红蓝对抗 | 网络攻防 | V2022全栈培训笔记WEB攻防18-23)
qq_46343633的博客
11-29 1121
1、ASP环境搭建组合2、ASP-数据库下载&植入3、IIS-短文件&解析&写权限WEB安全攻防:1、Weo源码2、开发语言3、中间件平台4、数据库类型4、第三方插件或软件。
小迪安全】第04天:基础入门-WEB源码拓展
想努力,想追上在前面的人
01-31 208
在对站点进行测试的时候,首先要明确站点是否有框架,以及辨别是何种框架、获取源码
小迪安全|第08天:信息收集-架构,搭建,WAF等
欢迎相互探讨交流知识呀~
09-24 1063
笔记
2、CMS识别
weixin_41489908的博客
11-18 4834
打开一个网站,我们可以先看一下该网站的CMS, 推荐使用在线工具: http://whatweb.bugscaner.com/look/ http://www.yunsee.cn/finger.html 也可以手动分析数据包地址的路径,然后百度关键目录,就可以基本判断 禁止非法,后果自负 ...
渗透测试-基础入门-web源码拓展_4
weixin_51446936的博客
06-27 944
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。 比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路 二、知识点 2.1 关于WEB源码目录结构 注:这里以“BEESCMS企业网站管理系统”的源码为例 • admin---------------------
二、第二节 WebRTC源码目录结构
xyphf的博客
06-08 630
今天我们来介绍一些WebRTC的目录结构,大家都知道WebRTC的代码量是非常大的,所以它里面的目录也特别多,那么我们下面介绍的这些目录是大家每个人都应该要掌握的,在我们后面的学习中很有可能就修改WebRTC的代码,你要修改WebRtc的代码,你要知道它每个目录的功能及作用是什么,当你想改那块逻辑的时候你可以直接定位到哪个目录下相应的文件进行修改了,那么如果你不清楚这个目录结构的话,就非常困难,这代码量那么大,你要一个个去查找,那就非常的费劲。 接下来就一个个来看这些 目录 到底起什么作用。 WebRT
Java Web前端学习笔记:HTML到AJAX基础
"这篇文档包含了作者在学习Java Web前端时的笔记,主要涵盖了前端开发的基础知识,包括HTML、CSS、JavaScript、DOM编程、jQuery框架以及AJAX基础。" 本文档详细介绍了Java Web前端开发中的核心技术和元素,首先从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值