WEB安全学习第四天:WEB源码扩展

最新推荐文章于 2024-03-18 15:15:56 发布
最新推荐文章于 2024-03-18 15:15:56 发布
阅读量878 收藏
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43171447/article/details/124230357
版权
本文档详细介绍了如何进行CMS识别与源码获取,包括通过字典下载和在线工具识别CMS,以及从正规与非正规途径获取源码。实验内容涉及ASP,PHP源码的安全测试,例如通过下载网站数据库获取管理员信息,并对特定CMS进行漏洞分析。此外,还探讨了针对源码应用的分类分析漏洞,以及目标识别与源码获取的方法。
摘要由CSDN通过智能技术生成

目录

1.实验环境与工具

2.实验知识点

2.1 CMS识别

2.2 源码获取

3.实验内容

3.1 ASP,PHP等源码下的安全测试

3.2 针对源码应用分类分析漏洞

3.3 简要目标的识别与源码获取

1.实验环境与工具

access数据库文档阅读器

Hacke学习靶场

2.实验知识点

2.1 CMS识别

        cms是内容管理系统,是一种位于WEB 前端和后端办公系统或流程之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。

        网站内容管理系统又名网站CMS系统,主要用途是为了节约网站开发的成本而开发的建站系统。早期的网站系统一般叫自助建站系统。现在的网站系统又分为企业网站系统,论坛系统,门户站系统和购物网站系统。

识别方法:1.下载字典

                  2.在线CMS识别网站

2.2 源码获取

        1.大中型正规:搜索下载

        2.小众非法:咸鱼淘宝,源码网站

3.实验内容

3.1 ASP,PHP等源码下的安全测试

实验思路:建站CMS平台识别——某CMS有无漏洞——默认数据库/漏洞利用

具体实验:

        1.进入网站,初步查看得知为asp页面,看到关键字XYCMS为建站系统

        2. 下载XYCMS建站系统源码,查看文件夹,发现xydata目录下有mdb数据文件

         

        3.打开查看,发现admin_user表下记录着管理员账户密码

      

        4.     已知信息:XYCMS的建站系统将mdb数据库存放在xydata文件夹下

                操作:从网站访问xydata/xycms.mdb下载该网站数据库文件获取密码

        5. 访问站点/admin到登录界面,输入下载数据库内容输入登录

 

        

 

      

3.2 针对源码应用分类分析漏洞

  实验思路:niushop电商类网站关注漏洞点——业务逻辑

        针对具体功能,进行具体测试

3.3 简要目标的识别与源码获取

       

 

Hann1bal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web源码(多套)
09-10
[其他类别]JdonFramework开源框架 v5.1 Build20071025_jdonframework-5.1 [其他类别]JS+Flash让网页元素发光的插件 glow! 0.1_glow [其他类别]JSP Explorer 文件浏览器 v1.0_fileexplorer [其他类别]jsp+servlet+javaBean实现MVC_jspmvc [其他类别]Jsp考试系统_jspks [其他类别]JSP网页HTML编辑器 v1.0 beat_jsphtmleditor [其他类别]JSP无限级分类目录树_sorttree [其他类别]MeyboMail Web(Java)开源简化_meybomailweb [其他类别]MeyboMail Web开源简化版_meybomailweb [其他类别]Noka tag 软件标签 v3.0_noka3.9 [其他类别]QQ闪字程序_ztxiu [其他类别]Struts+Hibernate实现MVC_strutsmvc [其他类别]SyueBook(岁月联盟留言本) 1.0_syuebook [其他类别]UrlRewriter Java v2.0 RC1_urlrewriterjava [其他类别]WebSpider蓝蜘蛛网页抓取 v5.1_webspider [其他类别]动态显示JSP服务器内存的Ajax程序 图像版_systemjc [其他类别]分页 QQ菜单 jsp标签_noka3.9 [其他类别]检测JSP服务器内存的Ajax程序_systemjc [其他类别]简易数据库关系映射框架EasyDBO v0.1.0 测试版_easydbo010 [其他类别]铭洲网络后台解决方案_ccmingzhou [其他类别]网页中文本框自校验的标签_input [其他类别]网站RSS订阅功能插件RSSMaker JSP版 v1.0_rssmaker_jsp
web网站源码网站源码网站源码
10-14
网站源码网站源码网站源码网站源码网站源码网站源码网站源码网站源码网站源码
第四天-web源码扩展
m0_51521509的博客
02-28 3531
web源码扩展 分为四大类:目录结构 脚本类型 应用分类 其他补充 目录结构:后台目录 模板目录 数据库目录 数据库配置文件 了解架构便有理解 脚本类型:ASP PHP ASPX JSP JAVAWEB PYTHON … 不同的语言编写源代码造成的漏洞也不一样 不同的语言安全性也不相同 应用分类:门户:综合类漏洞 电商:业务逻辑突出 和交易支付相关代码 使用函数也不一样造成漏洞也不一样 论坛:xss逻辑突出 博客 第三方:根据功能决定 其他… 源码功能决定漏洞类型 在拿到网站源码后要了解要往哪些漏洞上做文章
第四天web源码拓展
weixin_45838262的博客
04-04 146
知识点: web源码目录结构 脚本类型 应用分类 其他说明 数据库配置文件(config),后台目录,模板目录,数据库目录(了解架构) asp。。。(数据库储存,解释或编译型,语言安全) 门户 综合类漏洞 电商 业务逻辑突出 论坛 xss逻辑突出 博客 漏洞少 第三方 根据功能决定 (源码功能决定漏洞类型 所使用的函数不一样) 框架或非框架 框架漏洞或无框架下一步思路 CMS识别(开源) 人工,工具,平台识别 开源或内部 开源直接找漏洞或审计 内部常用渗透测试 源码获取 备份获取,CMS识别后获取,特定源码
web源码获取
qq_58970968的博客
07-10 1826
一、知识点: ●关于WEB源码目录结构 ●关于WEB源码脚本类型 ●关于WEB源码应用分类 ●关于WEB源码其他说明 1.数据库配置文件,后台目录,模版目录,数据库目录等 2.ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题 语言与框架(还包含内网渗透等web安全知识):5. 语言与框架 — Web安全学习笔记 1.0 文档 (如果能得到源码,可以查看config.php,一般这个文件会有用户名和密码,找到后台管理登录界面后。。。。你懂得) 3.社交,论坛,门户,第三方,博客等不同
Web 项目 源码
12-19
Web 项目 源码
web源码扩展
bin_sh_yidian的博客
08-09 423
知识点: 关于源码的脚本类型 关于web源码的应用分类 关于源码的其他说明 数据库配置文件,后台目录,模板目录,数据库目录等
渗透测试-基础入门-web源码拓展_4
weixin_51446936的博客
06-27 959
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。 比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路 二、知识点 2.1 关于WEB源码目录结构 注:这里以“BEESCMS企业网站管理系统”的源码为例 • admin---------------------
Web程序设计项目源码
08-21
建立和维护一个的Web网站 必须有数据库操作部分,即对表的增改删和浏览功能 要有浏览数据库内容的功能 最好有分页浏览功能。
27个WEB相关项目源码.rar
02-28
该资源是27个WEB相关项目源码,项目功能齐全,代码书写规范详细,值得大家下载下来学习借鉴保存都可以,非常的有价值
web网站源码2(多套)
09-10
[其他类别]Struts+Hibernate实现MVC_strutsmvc [其他类别]SyueBook(岁月联盟留言本) 1.0_syuebook [其他类别]UrlRewriter Java v2.0 RC1_urlrewriterjava [其他类别]WebSpider蓝蜘蛛网页抓取 v5.1_webspider [其他类别]动态显示JSP服务器内存的Ajax程序 图像版_systemjc [其他类别]分页 QQ菜单 jsp标签_noka3.9 [其他类别]检测JSP服务器内存的Ajax程序_systemjc [其他类别]简易数据库关系映射框架EasyDBO v0.1.0 测试版_easydbo010 [其他类别]铭洲网络后台解决方案_ccmingzhou [其他类别]网页中文本框自校验的标签_input [其他类别]网站RSS订阅功能插件RSSMaker JSP版 v1.0_rssmaker_jsp
Web前端开发案例-源代码
08-04
html 和css 学习源码容翔实、结构清晰、循序渐进,基例实战紧密结合,既可作为HTML5+CSS3初学者的入门,也适合作为中高级用户对新技术作进一步学习的参考
java+web项目开发,javaweb开发完整实例源代码
03-20
深入体验java+web开发,javaweb开发完整实例源代码,里面包含使用说明和注解,共有十个不同类型的项目案例供你学习
html 个人网站 源码
04-18
很好的个人网站,有源代码。。。 如果需要,可以拿去,自己在上面稍作修改,就变成你的了。
WEB进销存系统源码.rar
07-22
针织行业进销存系统源码 源码描述: 一、源码介绍 针织布匹行业批发类进销存,该系统为原版本进行二次优化开发成.net版,目前标准版功能简单、明了、满足日常门市正常使用,已有多家正常使用,成熟稳定,有需要的可以下载看看。 二、主要功能 1、订货单、订货记录 2、进货管理:进货单、进货记录 3、销售管理:销售单、销售记录 4、仓库:入库单、出库单、调拨单、盘点单。 5、资金管理:收款单、付款单、供应商对账单、客户对账单 6、基本设置:仓库管理、供应商管理、客户管理、商品类别、商品管理 7、辅助设置:计量单位、账户设置、结算方式设置。 8、高级设置:权限设置、角色设置、账号管理 三、注意事项 1、开发环境为Visual Studio 2010,数据库为SQL SERVER2008R2,使用.net 4.0开发。 2、数据库文件在DB文件夹中,附加即可 3、默认数据库连接字符串在web.config配置文件中修改 4、后台登陆密码 admin admin 采用ASP.NET 4.0开发
web期末作业网页设计html——我的家乡(网页源码
最新发布
网页设计与制作
03-18 4207
1网页简介:此作品为学生个人主页网页设计题材,HTML+CSS 布局制作,web前端期末大作业,大学生网页设计作业源码,这是一个不错的网页制作,画面精明,代码为简单学生水平, 非常适合初学者学习使用。2.网页编辑等任意html编辑软件进行运行及修改编辑等操作)。3.知识应用:技术方面主要应用了网页知识中的: Div+CSS、鼠标滑过特效、Table、导航栏效果、Banner、表单、二级三级页面等,视频、 音频元素 、Flash,同时设计了Logo(源文件)所需的知识点。
大学生网页设计制作作业实例代码 (全网最全,建议收藏) HTML+CSS+JS
热门推荐
HTML网页设计
10-03 24万+
临近期末,大一新生的各种考试和专业结课作业纷至沓来。web实训大作业、网页期末作业、web课程与设计、网页设计等,简直让人头大。你还在为网页设计老师的作业要求感到头大?网页作业无从下手?网页要求的总数量太多?没有合适的模板?等等一系列问题。你想要解决的问题,在这篇博文中基本都能满足你的需求, 废话不多说,直接看效果。📔网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。📓网站程序方面:计划采用最新的网页编程语言HTML5+CSS3+JS程序语言完成网站的功能设计。并确
第4篇:基础入门~Web源码拓展
廖一语山的博客
08-27 678
目录前言演示案例ASP,PHP 等源码安全测试源码应用分类下的针对漏洞简要目标从识别到源码获取 前言   WEB 源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点 关于 WEB 源码目录结构 关于 WEB 源码脚本类型 关于 WEB 源码应用分类 关于
25个经典网站源代码
06-09
25个经典网站源代码 有简约的有时尚的方便大家参考、模仿。
深度解析SpringWeb MVC源码(第二版)
"深入剖析SpringWeb 源码(第二版)由罗伯特.李撰写,详尽解析了SpringWeb MVC的体系结构、工作流程、核心组件的实现及架构,涵盖DispatcherServlet、处理器映射、适配器、处理器、拦截器、消息转换器、视图解析等多个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值