Day04 基础入门-WEB源码扩展

最新推荐文章于 2024-08-03 18:56:10 发布
最新推荐文章于 2024-08-03 18:56:10 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 小迪web安全渗透培训视频笔记 文章标签: 渗透测试 web安全
对本博客中原创文章进行转载者,请在其转载文章中声明出处,谢谢。 本博地址:https://blog.csdn.net/weixin_44676102
本文链接:https://blog.csdn.net/weixin_44676102/article/details/121865891
版权

Day04 基础入门-WEB源码扩展

声明:本文章仅仅是个人学习笔记,仅供交流学习使用,请勿用于非法用途

——小迪web安全渗透培训视频笔记

文章目录

前言

WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。

内容

  • 关于WEB源码目录结构
  • 关于WEB源码脚本类型
  • 关于WEB源码应用分类
  • 关于WEB源码其它说明

#数据库配置文件,后台目录,模板目录,数据库目录等

#ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题

#社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞

#开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等

#关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应

CMS识别方法

网站标识

工具识别

在线CMS识别平台

特殊文件比对md5值

  • 手工识别

    在网站上有 CMS 详细信息(类型以及版本号等)

  • 工具识别

    利用一些CMS工具进行识别

  • 在线CMS识别平台

    https://www.yunsee.cn

    http://whatweb.bugscaner.com

  • 特殊文件比对md5值

    • 


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  风羽墨客
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
【小迪安全学习笔记】基础入门-Web源码拓展

				
			

			

				

					Akrios的博客
				

				

					05-14
					
					987
					
				

			

		

		

			
				
前言:Web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。

知识点:
关于Web源码目录结构
数据库配置文件,后台目录,模板目录,数据库目录等
index.php 根据文件后缀判定
admin 网站后台路径
data 数据相关目录
install 安装目录
member

			
		

	



                

              
                



	

		

			

				
					
Web源码扩展

				
			

			

				

					chocomoss的博客
				

				

					09-23
					
					209
					
				

			

		

		

			
				
Web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 Web 源码有很多技术需要简明分析。

知识点
1、index.php 根据文件后缀判定
2、admin 网站后台路径
3、data 数据相关目录
4、install 安装目录
5、member 会员目录
6、template 模板目录(和网站相关的整体架构)
关于Web源码应用分类

社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
拿到对方的源

			
		

	



                


  
              

                


	

		

			

				
					
web源码扩展

				
			

			

				

					bin_sh_yidian的博客
				

				

					08-09
					
					418
					
				

			

		

		

			
				
知识点:

关于源码的脚本类型
关于web源码的应用分类
关于源码的其他说明
数据库配置文件,后台目录,模板目录,数据库目录等





			
		

	





	

		

			

				
					
4.基础入门-WEB源码拓展

				
			

			

				

					山兔的博客
				

				

					09-11
					
					170
					
				

			

		

		

			
				
一、渗透流程
获取到源码的渗透流程:先判断他是不是框架,如果是的话就寻找他框架的漏洞,如果不是的话一行一行的去找他代码的漏洞,cms识别可以通过人工、工具、平台识别来判断,在得知他是开源的直接找漏洞或代码审计,如果是内部的就进行常规的渗透测试源码获取:备份获取、CMS识别后获取,特定源码特定获取(闲鱼、淘宝)
二、网站目录
后台目录、模板目录、数据库目录、数据库配置文件
admin网站后台  data数据相关   member 会员相关的东西
Includes/con/config 配置文件
四、应用分

			
		

	



		

			
		



	

		

			

				
					
小迪安全笔记02-web源码扩展

				
			

			

				

					zerolea的博客
				

				

					04-03
					
					3926
					
				

			

		

		

			
				
关于WEB源码目录结构
数据库配置文件,后台目录,模版目录,数据库目录等,admin网站后台 、data数据相关、member会员目录、install 安装目录、template 模板目录、Includes/con/config配置文件。


关于WEB源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题


关于WEB源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞


关于WEB源码其他说明
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等

			
		

	





	

		

			

				
					
matlab源码求一元函数-100day:100天

				
			

			

				

					05-19
				

			

		

		

			
				
群里面有我优秀的同事和朋友,我们在有时间的时候会主动为大家解答各种问题,从Python语言入门Web应用开发,从数据分析到机器学习,每个领域都有该领域的大拿为大家解惑答疑,小伙伴们可以加群进行交流。...

			
		

	





	

		

			

				
					
Vue入门笔记以及项目源码

				
			

			

				

					04-18
				

			

		

		

			
				
这个压缩包中的“Vue入门笔记以及项目源码”提供了从基础到实践的全面学习材料,覆盖了Vue的核心概念和技术。  首先,让我们按照文件名的顺序逐个解析学习内容:  1. **Day 01**:通常会涵盖Vue的基础知识,包括Vue...

			
		

	





	

		

			

				
					
song_haozhi-mayday-master.zip

				
			

			

				

					06-11
				

			

		

		

			
				
《基于SpringBoot的博客系统——song_haozhi-mayday-master...总的来说,“song_haozhi-mayday-master”是一个很好的实践案例,帮助开发者从零开始,逐步掌握SpringBoot框架的应用,为后续的Web开发打下坚实的基础

			
		

	





	

		

			

				
					
javaweb基础

				
			

			

				

					06-25
				

			

		

		

			
				
这个"JavaWeb视频教程_day1-资料源码"可能包含第一天课程的学习内容,如Servlet和JSP的基本概念、安装和配置Web容器等。通过源码学习,你可以看到理论知识在实际项目中的应用,加深理解并提升动手能力。建议按照课程...

			
		

	





	

		

			

				
					
JavaWeb基础材料和源码(5)

				
			

			

				

					11-12
				

			

		

		

			
				
本资源包为那些已具备一定Java基础并希望深入学习JavaWeb开发的用户提供了一系列的学习材料,包括教材、PPT以及课程源码,旨在通过理论与实践的结合,帮助用户掌握这一领域的核心知识。  1. **J2EE**: J2EE是Java...

			
		

	





	

		

			

				
					
04基础入门WEB源码拓展

				
			

			

				

					qq_52718293的博客
				

				

					03-08
					
					4932
					
				

			

		

		

			
				
1.WEB源码作用
用来代码审计漏洞,做信息突破口。
栗子:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。


2.关于WEB源码目录结构
据库配置文件,后台目录,模板目录,数据库目录等
index.php 根据文件后缀判定
admin 网站后台路径data 数据相关目录
install 安装目录
member 会员目录
template 模板目录(和网站相关的整体架构)
data => 

			
		

	





	

		

			

				
					
6. 基础入门-web源码扩展

				
			

			

				

					lanziDemo blog
				

				

					03-18
					
					2926
					
				

			

		

		

			
				
6. 基础入门-web源码扩展


作用:

WEB 源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路;



WEB 源码目录结构:
-  到网站源码后,应重点关注数据库配置文件,后台目录,模版目录,数据库目录等文件,后台目录会有以下关键词:admin,manage

			
		

	





	

		

			

				
					
第四天-web源码扩展

				
			

			

				

					m0_51521509的博客
				

				

					02-28
					
					3528
					
				

			

		

		

			
				
web源码扩展
分为四大类:目录结构 脚本类型 应用分类 其他补充
目录结构:后台目录 模板目录 数据库目录 数据库配置文件 了解架构便有理解
脚本类型:ASP PHP ASPX JSP JAVAWEB PYTHON … 不同的语言编写源代码造成的漏洞也不一样 不同的语言安全性也不相同
应用分类:门户:综合类漏洞 电商:业务逻辑突出 和交易支付相关代码 使用函数也不一样造成漏洞也不一样 论坛:xss逻辑突出 博客 第三方:根据功能决定 其他… 源码功能决定漏洞类型 在拿到网站源码后要了解要往哪些漏洞上做文章

			
		

	





	

		

			

				
					
2020小迪培训(第04天 基础入门-web源码拓展)

				
			

			

				

					是阿明呐的博客
				

				

					07-25
					
					1338
					
				

			

		

		

			
				
基础入门-web源码拓展
​	前言:web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中web源码有很多技术需要简要分析。比如获取asp源码后可以采用默认数据库下载为突破,获取其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。
知识点

关于web源码目录结构
关于web源码脚本类型
关于web源码应用分类
关于web源码其他说明

#数据库配置文件,后台目录,模板目录,数据库目录

#asp,php,aspx,

			
		

	





	

		

			

				
					
《小迪网络安全笔记》 第四节:基础入门-WEB源码拓展

				
			

			

				

					小陈的博客
				

				

					08-03
					
					942
					
				

			

		

		

			
				
第四节:基础入门-WEB源码拓展
前言:WEB源码简介
WEB源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞,也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。
比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。
一、关于WEB源码

1、网站目录详解
(1)admin:网站后台
(2)data:数据相关目录
(3)install:安装
(4)member:会员账号数据
(

			
		

	





	

		

			

				
					
B站小迪安全笔记第4天-WEB源码拓展

				
			

			

				

					m0_61530426的博客
				

				

					07-11
					
					719
					
				

			

		

		

			
				
小迪安全笔记

			
		

	





	

		

			

				
					
web源码获取

				
			

			

				

					qq_58970968的博客
				

				

					07-10
					
					1822
					
				

			

		

		

			
				
一、知识点: 
●关于WEB源码目录结构
●关于WEB源码脚本类型
●关于WEB源码应用分类
●关于WEB源码其他说明

1.数据库配置文件,后台目录,模版目录,数据库目录等
2.ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题
语言与框架(还包含内网渗透等web安全知识):5. 语言与框架 — Web安全学习笔记 1.0 文档
(如果能得到源码,可以查看config.php,一般这个文件会有用户名和密码,找到后台管理登录界面后。。。。你懂得)
3.社交,论坛,门户,第三方,博客等不同

			
		

	





	

		

			

				
					
“微软蓝屏”事件暴露了网络安全哪些问题?

				
			

			

				

					2302_80152430的博客
				

				

					08-03
					
					198
					
				

			

		

		

			
				
例如,电力系统的故障会波及到依赖电力的通信网络和制造业,而医疗设备的故障则直接影响到患者的健康和生命安全。因此,技术领域需要不断完善系统的韧性,加强风险管理和质量控制机制,确保系统的稳定性和安全性。随着信息技术的普及,公众对网络和服务中断的容忍度越来越低,这就要求各行各业不仅要保障自身系统的稳定运行,还要加强与客户的沟通和透明度。4. 自动化测试与持续集成:使用自动化测试工具,定期运行测试用例,提高测试效率和覆盖率,同时实施持续集成策略,确保每次代码变更都经过自动化的构建和测试。

			
		

	





	

		

			

				
					
【网络安全】|vmware网络适配器模式-NAT 模式、桥接模式、仅主机模式

					
最新发布

				
			

			

				

					yangdan_jiayou的博客
				

				

					08-03
					
					81
					
				

			

		

		

			
				
1、桥接模式(Bridged Network),在桥接模式下,虚拟机会通过宿主机的物理网络适配器直接访问网络,像是局域网中的其他设备一样。在 VMware 的仅主机模式(Host-Only Networking)中,VMnet1 通常作为虚拟网络的一个接口,它。即:虚拟机配置为主机模式(Host-Only),这意味着虚拟机可以与宿主机(物理机)进行通信,但无法直接访问外部网络。2、网络地址转换模式(NAT),在 NAT 模式下,虚拟机会通过宿主机的网络连接访问外部网络,宿主机会充当中介。

			
		

	





	

		

			

				
					
Java基础入门:Day1-3课程精华概览

				
			

			

				

					
				

			

		

		

			
				
Java语法基础是学习Java编程的第一步,它是理解和构建Java程序的基础。课程涵盖了核心Java的多个关键部分,从语言基础知识到高级特性,旨在帮助初学者建立扎实的编程根基。以下是该课程大纲的主要知识点:  1. **...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
风羽墨客

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值