B站小迪安全笔记第4天-WEB源码拓展

最新推荐文章于 2024-06-29 00:36:00 发布
最新推荐文章于 2024-06-29 00:36:00 发布
阅读量724 收藏 4
点赞数
分类专栏: 笔记 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61530426/article/details/125715185
版权
本文介绍了WEB源码在安全测试中的重要性,包括源码目录结构、脚本类型、应用分类等内容,并探讨了如何通过源码获取进行安全测试和代码审计,列举了ASP,PHP等源码的安全问题及不同类型的代码机制对应漏洞。此外,还分享了源码获取途径和实际案例,如CMS识别、电商平台漏洞挖掘等。" 120321109,11205893,Vue接口返回数据异常:偶尔成功,多数null,"['vue.js', 'vue-cli3', '前端开发', 'axios', 'HTTP请求']
摘要由CSDN通过智能技术生成

前言:

WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本 源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为 后期的安全测试提供了更多的思路。

关于 WEB 源码目录结构 

关于 WEB 源码脚本类型

关于 WEB 源码应用分类

关于 WEB 源码其他说明

 数据库配置文件,后台目录,模版目录,数据库目录等

从网上下了很多网站源码,从文件后缀看出是拿什么搭建的,从文件名看出功能,admin是网站后台,data是数据,install是安装,template模板文件,member会员文件。在data文件中找config看数据库配置,然后可以去连接数据库去获取管理员账号密码  

ASP,PHP,ASPX,JSP,JAVAWEB 等脚本类型源码安全问题

看参考网站readthedocs.io,在语言框架那里面可以看到不同语言有不同的安全问题

社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞

见图片

开源,未开源问题,框架非框架问题,关于 CMS 识别问题及后续等

见图片,cms识别可以通过人工观察,工具

最低0.47元/天 解锁文章
林墨麟
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
B站小迪安全学习笔记第11-WEB漏洞必懂知识点讲解
m0_61530426的博客
07-18 931
B站小迪安全笔记
小迪安全学习笔记--第1:基础概念---名词
zr1213159840的博客
10-11 705
基础入门-概念名词 域名 什么是域名 可以简单的理解为我们平常使用的网址,具体可以参考:https://baike.baidu.com/item/%E5%9F%9F%E5%90%8D/86062?fr=aladdin 域名在哪里注册 国内像万网,新网都可以注册域名,可以在上面提及的网站上面进行查询以及进行注册 什么是二级域名以及多级域名 https://www.xinnet.com/xinnews/domain/27374.html 域名发现对于安全的意义 对于域名的信息进行收集,可以获得旁站相关的信息,主
小迪安全v2023 javaWeb项目
google20的博客
06-29 650
docker,webgoat靶场,jwt
2021小迪web安全笔记全套.zip
08-16
安全圈子知名讲师 小迪 2021最新教学的课堂笔记 教程还是挺不错的,很好入门。教程也比较新,有新的waf绕过方法以及代码审计,还有新的工具和渗透思维。
2020小迪培训(第04 基础入门-web源码拓展
是阿明呐的博客
07-25 1345
基础入门-web源码拓展 ​ 前言:web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中web源码有很多技术需要简要分析。比如获取asp源码后可以采用默认数据库下载为突破,获取其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点 关于web源码目录结构 关于web源码脚本类型 关于web源码应用分类 关于web源码其他说明 #数据库配置文件,后台目录,模板目录,数据库目录 #asp,php,aspx,
小迪网络安全课件.txt
07-29
自己找的小迪网安课件,跟逆风微笑的代码狗上传的视频相配套,有需要的可以下载。
小迪基础渗透笔记0-24
05-18
小迪基础渗透笔记0-24
小迪安全笔记,详细版本
01-23
小迪安全笔记】详细介绍了网络安全领域的多个关键知识点,涵盖了域名、DNS系统、CDN、DNS攻击、脚本语言以及后门等方面。 1. **域名**:域名是互联网上识别计算机或计算机组的名称,由点分隔的名字组成,如...
2020-V6-小迪安全讲义和相关笔记.zip
08-24
2020.V6小迪安全讲义和相关笔记
小迪安全笔记】完整详细笔记01-39
最新发布
08-01
安全测试中,寻找和利用二级或多级域名的漏洞,可以作为攻破主域的迂回策略。 3. **DNS**:域名系统负责将域名映射到IP地址,是互联网访问的重要部分。DNS与本地HOSTS文件的关系是,当解析IP时,会优先查找HOSTS...
B站小迪安全笔记第三-搭建安全拓展
m0_61530426的博客
07-09 544
B站小迪安全笔记
cracer安全学院内部练习靶场
04-13
这是最新大佬分享出来的靶机下载地址,是最新的cracer大佬的靶机地址,解压密码在压缩包内打开即可看到解压密码。希望大家能够希望
hack学习资料.zip
07-25
分享一套学习资料,里面所包含了基本工具、实验环境、信息收集、扫描以及Metasploit之类的教程和资源或者在线网站等等。
小迪第九期渗透培训
11-19
小迪第九期渗透培训 里面有惊喜干货!实战渗透
代码审计“小迪安全课堂笔记” java
weixin_42902126的博客
06-07 741
1:根据程序架构以及业务逻辑,通过数据流向的每一个换节来审计漏洞 获取参数–>表现层–>业务层–>持久层,需要通读源码 缺点:耗费时间 2:通过查找和判断敏感函数上下文,追踪参数源头,审计是否存在漏洞 缺点:覆盖不了逻辑漏洞,不了解程序基本框架参考链接:https://www.cnblogs.com/kingsonfu/p/12419817.html 安装完成后 IDEA 下方会有这个,点开就行 安全问题的报告显示在这里 安装和使用参考:https://blog.csdn.net/qq_41648820/
(2020上半年第39(代码审计-初识代码审计))小迪网络安全笔记
u013630181的博客
12-07 237
网络渗透信息收集
余笙.'的博客
02-28 6774
安装虚拟机步骤 网络渗透 一、域名信息收集 1.Whois 2.搜索引擎HACK 可以搜到:公司新闻动态、重要员工信息、机密文档、用户名密码、邮箱、目标系统软硬件技术架构 3.IP开放端口及服务 4.子域名信息收集 5.绕过CDN收集信息方法介绍 一.Google Hacking 1、加减字符的使用 +:支付 —:充值 这个语句就是过滤掉所有包含支付但不包含充值的页面 2、参数的使用 1.Intext 参数 搜索带有所有该关键词的内容页面 2.Intit..
小迪安全-03,怎么入门网络安全
m0_63174618的博客
04-09 236
语言与框架:在编写脚本时可能存在的安全问题或是漏洞。#社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞。#关于源码获取的相关途径:搜索,咸鱼,淘宝,第三方源码站,各种行业对应。例如:菜鸟源码#总结:关注应用分类及脚本类型估摸出可能存在的漏洞(其中框架类例外),在获取源码后可进行本地安全测试或代码审计,也可以分析其目录工作原理(数据库备份,bak文件等),未获取到的源码采用各种方法想办法获取!
小迪安全第04 基础入门,WEB源码拓展
qq_46116117的博客
11-21 824
04 基础入门,WEB源码拓展 前言: WEB 源码安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本 源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源 码的获取将为 后期的安全测试提供了更多的思路。 知识点:  关于 WEB 源码目录结构  关于 WEB 源码脚本类型  关于 WEB 源码应用分类  关于 WEB 源码其他说明 #数据库配置文件,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值