基础入门-WEB 源码拓展-2021-09-21

最新推荐文章于 2024-05-19 17:03:37 发布
最新推荐文章于 2024-05-19 17:03:37 发布
阅读量1.1k 收藏
点赞数
文章标签: 数据库 asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36288669/article/details/120404856
版权

基础入门-WEB 源码拓展

前言:WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB 源码有很多技术需要简明分析。比如:获取某ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。

讲解的内容如下

image-20210919221537004

1, 关于WEB 源码目录结构

了解数据库配置文件,后台目录,模版目录,数据库目录等

例:网站的源码

image-20210919220630468

数据库配置文件

image-20210919220906466

社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞

开源,未开源问题,框架非框架问题,关于CMS 识别问题及后续等

关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应 (菜鸟源码

#总结:
关注应用分类及脚本类型估摸出可能存在的漏洞(其中框架类例外),在获取源码后可进行本地安全测试或代码审计,也可以分析其目录工作原理(数据库备份,bak 文件等),未获取到的源码采用各种方法想办法获取

image-20210921195126172

mfg_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Web新手小项目及源码
ONEPIECE
01-25 4万+
这是javaweb的期末作业,本人大三。在这里和大家分享,有不足之处也希望大家指出来。 项目比较简单,主要供新手小白参考,大牛请轻喷~ 实现的主要功能有:JSP连接数据库、MD5加密、验证码验证、AJAX、文件上传下载、session登录验证、等 先来几张成果图: 首页的图是盗用teambition的,样式也是仿照它写的,不要在意这些。。。
【小迪安全】第04天:基础入门-WEB源码拓展
想努力,想追上在前面的人
01-31 189
在对站点进行测试的时候,首先要明确站点是否有框架,以及辨别是何种框架、获取源码
Web开发人员新手训练营
02-20
Web开发人员新手训练营
渗透测试-基础入门-web源码拓展_4
weixin_51446936的博客
06-27 920
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。 比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路 二、知识点 2.1 关于WEB源码目录结构 注:这里以“BEESCMS企业网站管理系统”的源码为例 • admin---------------------
JavaWeb新手小项目以及源码
热门推荐
zhang150114的博客
04-21 1万+
此项目主要实现的功能有: jsp连接数据库、MD5加密、验证码验证、Ajax、文件的上传与下载、session登录验证等。 先来几张截图: 一、首先写登录页面 login.jsp <%@ page language="java" import="java.util.*" pageEncoding="utf-8" %> <html> <head> &l...
04-基础入门-WEB源码拓展
m0_62670778的博客
08-14 226
先登录网站的文件路径 — 报错查看是否为框架 — 工具查找漏洞。不是框架就CMS识别。人工识别 — 底部的如:ZHCMS,ASPCMS等搜索,获得网站源码,以及文件的路径;网站的部分目录;网站的响应包的特殊路径。工具识别 — 点击logo一般为网站的ico图片,通过查看MD5,匹配自己的ICM识别库,获取文件的路径。平台识别 — 通过查找域名,获取信息。源码的获取。站长之家。咸鱼、淘宝。
基础入门-web源码拓展
hirak0的博客
11-11 728
基础入门-web源码拓展 前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。 比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路 关于WEB源码目录结构 注:这里以“BEESCMS企业网站管理系统”的源码为例 得到账号、密码,连接对方的数据库,从数据库汇总得到后台的账号、密码,然后登录对方的后台
第04天:基础入门-WEB源码拓展
cailme的博客
03-30 38
渗透测试day4
基础入门-Web源码拓展
硫酸超的博客
07-22 240
这里写目录标题前言知识点关于Web源码目录结构关于Web源码脚本类型关于Web源码应用分类关于Web源码其他说明演示ASP源码下安全测试PHP等源码下安全测试源码应用分类下的针对漏洞 前言 Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点 关于Web源码目录
第04天:基础入门-WEB源码拓展1
08-03
前言:WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。比如:获取某 ASP 源
Web编程基础期末设计-基于HTML的我的家乡静态网页设计源码(可换成自己的).zip
12-15
3.项目具有丰富的拓展空间,不仅可作为入门进阶,也可直接作为毕设、课程设计、大作业、初期项目立项演示等用途。 4.当然也鼓励大家基于此进行二次开发。在使用过程中,如有问题或建议,请及时沟通。 5.期待你能在...
基于fisco-bcos区块链平台的融通仓融资业务系统源码(含sql数据库+演示视频+软件说明+技术文档).zip
12-15
3.项目具有丰富的拓展空间,不仅可作为入门进阶,也可直接作为毕设、课程设计、大作业、初期项目立项演示等用途。 4.当然也鼓励大家基于此进行二次开发。在使用过程中,如有问题或建议,请及时沟通。 5.期待你能在...
DZB股票学习网 文章管理系统 v4.0.6.zip
07-05
DZB股票学习网 文章管理系统全站采用无图版设计(除LOGO外),代码结构简捷、快速、精美、兼容多浏览器,访问速度更快代码简洁精炼,符合web标准, 美观方便,可以做股票入门大型门户网站,同时也极具很大的拓展性,...
基于WEB的考研资源共享系统源码(高分课程设计).zip
12-15
【项目介绍】基于WEB的考研资源共享系统源码.zip基于WEB的考研资源共享系统源码.zip基于WEB的考研资源共享系统源码.zip基于WEB的考研资源共享系统源码.zip基于WEB的考研资源共享系统源码.zip基于WEB的考研资源共享...
4.基础入门-WEB源码拓展
山兔的博客
09-11 163
一、渗透流程 获取到源码的渗透流程:先判断他是不是框架,如果是的话就寻找他框架的漏洞,如果不是的话一行一行的去找他代码的漏洞,cms识别可以通过人工、工具、平台识别来判断,在得知他是开源的直接找漏洞或代码审计,如果是内部的就进行常规的渗透测试。 源码获取:备份获取、CMS识别后获取,特定源码特定获取(闲鱼、淘宝) 二、网站目录 后台目录、模板目录、数据库目录、数据库配置文件 admin网站后台 data数据相关 member 会员相关的东西 Includes/con/config 配置文件 四、应用分
mysql事务(原理)
最新发布
m0_74347016的博客
05-19 513
mysql事务原理
生产报表工具PI DataLInk 与 行列视之间的区别
2401_83701843的博客
05-17 245
行列视,全名“行列视生产数据应用系统”,行列视品牌所面对的业务范围远远超越了PIDatalink报表工具,他首先是一款本地部署的在线Excel文档管理系统,解决个人报表在线管理问题,其次,她和PIDataLInk一样,也是面向实时数据库报表需求的一套工具,其区别在于行列视品牌兼容国内外大多数实时数据库,也可以同时连接多个数据源,也就是她完全可以替代PI-DataLINk,同时也适用于其他品牌下的实时数据库系统;
MySQL存储过程添加二十万条数据日常练习
mi_mx的博客
05-17 301
【代码】MySQL日常练习。
stable-diffusion-webui 源码分析
04-19
对于stable-diffusion-webui的源码分析,可以从以下几个方面入手: 1. 项目结构:了解项目的目录结构和主要文件,包括前端和后端代码的组织方式。 2. 前端代码:分析前端代码,包括HTML、CSS和JavaScript等文件。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值