6. 基础入门-web源码扩展

最新推荐文章于 2024-07-09 15:25:42 发布
最新推荐文章于 2024-07-09 15:25:42 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: Web渗透 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44169342/article/details/123584130
版权

6. 基础入门-web源码扩展

  1. 作用:

    • WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路;

  2. WEB 源码目录结构:
    - 到网站源码后,应重点关注数据库配置文件,后台目录,模版目录,数据库目录等文件,后台目录会有以下关键词:admin,manage,master,houtai,guanli,等关键词,数据库目录:只有asp网站会将access数据库直接放在源码中,可在源码中搜索关键字.mdb,然后利用工具打开数据库文件即可得到后台账号跟密码,数据库配置文件,一般有sql、confing等关键字,另外,对于install安装文件目录中也有数据库配置等信息;

    1. 关于 WEB 源码脚本类型

      • 不同脚本语言常见漏洞不同,在获取到脚本语言类型后,应向着该语言常见漏洞方向靠近

    2. 关于 WEB 源码应用分类:

      • 不同功能的源码的常见漏洞不同
      • img

    3. 关于 WEB 源码其他说明

      • 第一步,判断是框架还是非框架,如果是框架的话查找框架漏洞并利用

      • 第二步,CMS识别:

        • 识别方法:1.第三方平台https://www.yunsee.cn/,http://whatweb.bugscaner.com/look/等

          • 2.使用工具扫描:例如御剑指纹识别

          • 3.手工识别:抓包,查看数据包中是否有源码信息

            • 搜索该程序的css,js等特征文件

      • 第三步:判断是开源程序(能够下载到源码)还是非开源程序(不能下载到源码),非开源程序在进行常规渗透测试(黑盒测试)

      • https://cnmmm.com

雨琨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【小迪安全学习笔记】基础入门-Web源码拓展
Akrios的博客
05-14 979
前言:Web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点: 关于Web源码目录结构 数据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径 data 数据相关目录 install 安装目录 member
Day04 基础入门-WEB源码扩展
风羽墨客的博客
12-10 1807
WEB 源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。
Web源码扩展
chocomoss的博客
09-23 201
Web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 Web 源码有很多技术需要简明分析。 知识点 1、index.php 根据文件后缀判定 2、admin 网站后台路径 3、data 数据相关目录 4、install 安装目录 5、member 会员目录 6、template 模板目录(和网站相关的整体架构) 关于Web源码应用分类 社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞 开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等 拿到对方的源
web源码扩展
bin_sh_yidian的博客
08-09 404
知识点: 关于源码的脚本类型 关于web源码的应用分类 关于源码的其他说明 数据库配置文件,后台目录,模板目录,数据库目录等
04基础入门WEB源码拓展
qq_52718293的博客
03-08 4922
1.WEB源码作用 用来代码审计漏洞,做信息突破口。 栗子:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 2.关于WEB源码目录结构 据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径data 数据相关目录 install 安装目录 member 会员目录 template 模板目录(和网站相关的整体架构) data =>
Vue基础入门源码-02
05-11
8. **路由与状态管理**:虽然这可能不在"Vue基础入门-02"的范围内,但作为扩展,Vue Router用于管理应用的路由,Vuex用于集中管理组件的状态,这些都是构建大型Vue应用的必备工具。 通过学习这个资源,初学者可以...
001-基础入门-Web演示源码&资源&工具箱等 c3a2b5e95bb442b5b09c4525c9aa1832.pdf
01-13
本资源摘要信息将详细介绍Web开发的基础知识点,包括四大件、网页展示形式、源码和URL访问关系、源码加密开源闭源、文件访问解析、数据库存储数据站库分离、中间件配置影响方法、学习掌握的重要性等。 一、四大件 ...
商业源码-编程源码-Asp.net3.5 MVC入门之文章管理源码.zip
06-14
6. **验证和授权**:为了确保数据安全源码可能包含了验证用户输入和权限控制的机制。例如,`[Required]`、`[StringLength]`等数据注解可以用于模型验证,防止无效数据进入数据库。另外,可能还有角色基础的授权...
商业编程-源码-ASP.NET经典案例源码入门源码.zip
06-20
这个压缩包"商业编程-源码-ASP.NET经典案例源码入门源码.zip"显然是为了帮助初学者或者开发者深入理解ASP.NET的实践应用,通过具体的源码实例来学习其核心概念和技术。 首先,我们要明白ASP.NET的核心特性。ASP...
示例源码--Python Web开发从入门到精通.rar
07-17
在本压缩包“示例源码--Python Web开发从入门到精通.rar”中,我们可以预见到一系列关于Python Web开发的实践代码和学习资料。这个资源是针对初学者和有一定基础的开发者,旨在通过实例帮助他们从零开始掌握Python ...
4.基础入门-WEB源码拓展
山兔的博客
09-11 168
一、渗透流程 获取到源码的渗透流程:先判断他是不是框架,如果是的话就寻找他框架的漏洞,如果不是的话一行一行的去找他代码的漏洞,cms识别可以通过人工、工具、平台识别来判断,在得知他是开源的直接找漏洞或代码审计,如果是内部的就进行常规的渗透测试。 源码获取:备份获取、CMS识别后获取,特定源码特定获取(闲鱼、淘宝) 二、网站目录 后台目录、模板目录、数据库目录、数据库配置文件 admin网站后台 data数据相关 member 会员相关的东西 Includes/con/config 配置文件 四、应用分
小迪安全笔记02-web源码扩展
zerolea的博客
04-03 3916
关于WEB源码目录结构 数据库配置文件,后台目录,模版目录,数据库目录等,admin网站后台 、data数据相关、member会员目录、install 安装目录、template 模板目录、Includes/con/config配置文件。 关于WEB源码脚本类型 ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题 关于WEB源码应用分类 社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞 关于WEB源码其他说明 开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
第四天-web源码扩展
m0_51521509的博客
02-28 3519
web源码扩展 分为四大类:目录结构 脚本类型 应用分类 其他补充 目录结构:后台目录 模板目录 数据库目录 数据库配置文件 了解架构便有理解 脚本类型:ASP PHP ASPX JSP JAVAWEB PYTHON … 不同的语言编写源代码造成的漏洞也不一样 不同的语言安全性也不相同 应用分类:门户:综合类漏洞 电商:业务逻辑突出 和交易支付相关代码 使用函数也不一样造成漏洞也不一样 论坛:xss逻辑突出 博客 第三方:根据功能决定 其他… 源码功能决定漏洞类型 在拿到网站源码后要了解要往哪些漏洞上做文章
jquery源码—— 扩展工具方法
weixin_41265663的博客
09-16 139
1、isWindow 判断的意义是什么? 2、isFunction 调用$.type 进行判断; 3、isNumeric 判断是否可转为数字类型 isNumeric(‘123’)true; isNumeric(123) true;isNumeric(NaN) false;  type 判断是否为 number 和 string,如果是字符则进行运算判断是否为NaN,返回结果; 4、isPl...
spring源码扩展点与实战(一)
黄小厮的博客
02-26 3070
前言 我们在使用 spring 框架的时候,有时候需要做一些定制化开发,这个时候就有必要对 spring 进行一些个性化扩展。spring 的代码本身就是一门艺术,可以非常方便进行扩展,但是有时候应用场景比较复杂,可能会觉得无从下手,笔者也曾有这样的困惑,因此,本文总结了一些常用的扩展点,希望能起到抛砖引玉的作用,开拓大家的思路。 spring 扩展点 BeanPostProcess...
网站源码怎么用?
热门推荐
ynwcqwcqw的博客
11-01 1万+
网站源码怎么用?不同的网站源码使用方法大同小异,原理都是把网站源码放到网站主机里面,然后安装运行即可。当然这是这普通的小白操作,而k1源码网今天需要详细的分析下网站源码怎么正确用。 一:检测网站源码是否有病毒或木马程序。 二:源码下载下来后检测是否完整,当然有的网站源码会存在大量bug,这些我们都要去了解和修复。 综合以上2点我们就可以继续去完成以下步骤了。 1、先把网站源码上传到网站主机里面。 前提是你已经购买了一个网站主机,推荐知名的大牌主机运营商,比如阿里云,腾讯云,西部数码等。购买好主机之
自学黑客(网络安全
最新发布
xv7676的博客
07-09 521
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。此时我们的选择也可以很多,比如CSDN,比如知乎,再比如B站,都有很多人在分享自己的学习资料,但我觉得这里存在的很大一个问题就是不连贯、不完善,大部分免费分享的教程,都是东一块西一块,前言不搭后语,学着学着就蒙了,这是我自学之后的亲身感受。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。
印尼网络安全治理能力观察
网络研究观
07-05 1081
这不是第一次,而且很可能也不会是最后一次。
网络安全主动防御技术与应用
weixin_48579910的博客
07-05 1154
入侵阻断技术是保护网络和系统免受各种网络攻击的关键措施。通过部署和配置NGFW、IDS/IPS、行为分析、网络隔离、恶意软件防护和零信任安全架构等技术,组织可以有效防御各种网络威胁。结合持续监控、定期评估和改进措施,可以增强整体网络安全性,保护关键资产和敏感数据。软件白名单技术是一种主动的安全措施,通过严格控制允许运行的应用程序,有效防止恶意软件和未经授权的软件执行。尽管管理复杂性较高,但其预防性和严格控制特性使其成为高安全性环境中的重要安全工具。
asp.net 入门ppt
05-12
asp.net 入门ppt 从基础学起asp.net 包括c#语法 各种asp.net技巧

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值