- 博客(3)
- 收藏
- 关注
原创 第14天 信息打点-JS 架构&框架识别&泄漏提取&API 接口枚举&FUZZ 爬虫&插件项目
在 Javascript 中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS 开发的 WEB 应用和 PHP,JAVA,NET 等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取 URL,获取 JS 敏感信息,获取代码传参等,所以相当于JS 开发的 WEB 应用属于白盒测试(默认有源码参考),一般会在 JS 中寻找更多的 URL地址,在 JS 代码逻辑(加密算法,APIkey 配置,验证逻辑等)进行后期安全测试。前提:web应用可以采用后端或者前端语言开发。
2024-08-04 01:19:48
562
原创 第13天 信息打点-Web 应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份
在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。网站管理员在发布代码时,没有使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件,获取到服务器源码。常见的备份文件后缀:.rar、.zip、.7z、.txt、.old、.temp、.bak、.tar.gz。1、删除web目录中所有.svn隐藏文件夹,开发人员在使用SVN时,严格使用导出功能,禁止直接复制代码;
2024-08-01 19:19:02
636
原创 第12天 信息打点-web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报
1.将requirements.txt(G:\xiaodi\study\12\OneForAll-master)移动到pip目录下(G:\python10\Scripts)出现如下界面开始安装,如果报错,则考虑是否已经将requirements.txt移动到调用执行的pip目录下,也可以通过在代码中打出完整路径来避免报错。扫描结束后,最终结果会在G:\xiaodi\study\12\OneForAll-master\results中显示。ps:每个平台查出来的内容可能有所不同,小蓝本可能不全面。
2024-07-28 23:49:25
648
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人