小迪安全系列笔记---04Web源码拓展

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量705 收藏
点赞数
分类专栏: XDSec 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51143604/article/details/124641005
版权

XDSec—04Web源码拓展

一、关于Web源码的概述

要明确源码信息是非常重要的信息来源,可以用来做代码审计找0day或者逻辑漏洞,作为渗透测试的突破口;源码中往往包含了一些数据库的配置信息,如数据库的管理员账号密码等;建站的cms,一般可以做横向的信息收集

1.1、关于Web源码的目录结构

  1. 熟悉常见目录的存放的内容
  2. 如style目录下,一般存放css文件
  3. images下存放图片文件
  4. data、config、admin等目录往往是源码中较为重要的目录

1.2、Web源码类型

  1. 源码类型一般决定常见漏洞的类型
  2. 例如php代码一般是文件上传、Sql注入等
  3. javaWeb一般是反序化等
  4. 获取到源码类型有助于明确攻击的思路

1.3、Web的应用分类

  1. 常见由电商、论坛、博客等应用场景
  2. 不同的应用场景会存在偏重的漏洞类型
  3. 例如电商类Web常见漏洞为业务逻辑漏洞
  4. 要明确不同应用场景下的漏洞类型

1.4、Web源码的获取方式

  1. 公开的源码下载网站
  2. cms建站工具
  3. 淘宝、闲鱼等交易平台

1.5、其他补充

  1. 对于cms批量建站的,可以使用cms指纹识别工具,或者信息收集等,获取cms类型
  2. 对于Web框架类,进行信息收集后,判断出所使用的框架,针对框架漏洞做攻击
  3. 要熟悉常见的cms,如帝国cms、织梦cms等
  4. 熟悉常用Web框架,如thinkphp、flask、Django

别人整理的笔记Web安全笔记:https://websec.readthedocs.io/zh/latest/

带上她的眼睛a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【小迪安全】第04天:基础入门-WEB源码拓展
想努力,想追上在前面的人
01-31 208
在对站点进行测试的时候,首先要明确站点是否有框架,以及辨别是何种框架、获取源码
B站小迪安笔记第4天-WEB源码拓展
m0_61530426的博客
07-11 711
迪安笔记
迪安笔记02-web源码扩展
zerolea的博客
04-03 3918
关于WEB源码目录结构 数据库配置文件,后台目录,模版目录,数据库目录等,admin网站后台 、data数据相关、member会员目录、install 安装目录、template 模板目录、Includes/con/config配置文件。 关于WEB源码脚本类型 ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题 关于WEB源码应用分类 社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞 关于WEB源码其他说明 开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
笔记网站源码
02-21
web课程作业 Noting.zip中是项目的源代码,IntelliJ IDEA打开后在命令行输入php artisan serve可以启动项目,之后在浏览器中输入http://127.0.0.1:8000可以进入登陆页面 管理员的初始账号密码为admin,admin
javaweb笔记项目源代码(SSM)
04-26
javaweb笔记项目源代码(SSM),采用Maven管理代码。
web笔记
weixin_43862596的博客
11-24 509
先来了解下java web开发 Java: 简单来说,就是一门语言 web:(World Wide Web),全球局域网,是一种分布式图形信息系统。简单来说,是浏览器上的一个个网站 Java web: 用java技术来解决相关web互联网领域的技术总和。web包括:web服务端和web客户端两部分 学习Java web开发,就是学习用java以及其他相关技术在浏览器上开发出一个个功能不同的web应用。 浏览器:指可以显示王爷服务器或者文件系统的HTML文件内容,并让用户与这些文件交互的一种软件。 简单讲就
迪安全学习笔记--第4天:基础入门---web源码拓展
zr1213159840的博客
10-25 554
课程链接 基础入门–web源码拓展 数据库配置文件,后台目录,模版目录,数据库目录等 文件的后缀指明了源码是什么类型,通过各个文件夹能看出来大概的功能是什么 template一般是模板文件 数据库配置文件是源码与数据库通信的文件,数据库配置文件一般在conf,include等文件或者文件夹中 ASP,PHP,ASPx,JSP,JAVAWEB等脚本类型源码安全问题 各种语言产生的安全问题可以参考这个链接:https://websec.readthedocs.io/zh/latest/language/ind
迪安全课程笔记--01基础入门
weixin_44576725的博客
10-18 1344
一、web源码拓展 1、各类型文件的存放位置 数据库配置文件一般放在include、config或者data文件夹下 后台目录即管理员目录一般在admin文件夹下 模板目录一般在template文件夹下 2、在线CMS指纹识别 CMS是"Content Management System"的缩写,意为"内容管理系统" Web指纹扫描用于识别目标所运行的web软件、后端服务器、编程语言等特征,实现对目标的web应用的准确标识,包括应用名称(版本)、服务器软件(版本)、编程语言(版本)、应用框架(版
dyalog-jupyter-notebooks:适用于Dyalog APL的Jupyter笔记
02-04
现在,通过"dyalog-jupyter-notebooks"项目,我们可以将Dyalog APL与Jupyter Notebook相结合,进一步拓展了APL的使用场景。 "dyalog-jupyter-notebooks"是一个专门为Dyalog APL定制的Jupyter Notebook扩展,它使得...
web:Web前端学习笔记
05-11
Web Web前端学习笔记
客客出品专业威客系统KPPW2.2GBK【正式版】.zip
07-07
 全面升级手机版功能,以HTML5&CSS3为基础的网页开发,针对不同终端分辨率做了调整,在满足WEB站点功能同时,让商业授权用户快速拥有自己的WEBAPP站点拓展移动互联网市场。  如各种设备分辨率WVGA(480×800),...
客客威客系统KPPW 2.2 GBK Beta.zip
05-27
全面升级手机版功能,以HTML5&CSS3为基础的网页开发,针对不同终端分辨率做了调整,在满足WEB站点功能同时,让商业授权用户快速拥有自己的WEBAPP站点拓展移动互联网市场。 如各种设备分辨率WVGA(480×800),FWVGA ...
python3网络爬虫笔记与实战源码
01-11
Python是一门强大且易学的编程语言,广泛应用于数据科学、机器学习、Web开发等多个领域。为了帮助大家更好地掌握Python,我们精心整理了一系列Python学习资料,旨在为不同需求的Python学习者提供全方位的学习支持。 ...
Flask学习笔记(6)源码
11-06
在本篇Flask学习笔记(6)中,我们将深入探讨Flask这个轻量级的Python Web框架。Flask以其简洁的API和高度可扩展性深受开发者喜爱,它允许开发者用少量代码实现功能丰富的Web应用。以下是对源码的详细解析。 首先,...
web前端源码笔记_canvas【爱创课堂专业前端培训】
Icketang_的博客
07-03 375
爱创课堂前端源码笔记——canvas 一、canvas canvas是HTML5新增的标签用于提供“画布” 可以通过canvas元素获取对应的“上下文”(可以理解为画笔)来操作显示内容 canvas的标准属性有width和height(例如id, class这些都属于通用标准属性) width: 表示canvas的宽 hieght: 表示canvas的高 举例: 1 样式: 获取画笔的方式:...
渗透测试-基础入门-web源码拓展_4
weixin_51446936的博客
06-27 944
一如既往的学习,一如既往的整理,一如既往的分享 一、前言 web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。 比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路 二、知识点 2.1 关于WEB源码目录结构 注:这里以“BEESCMS企业网站管理系统”的源码为例 • admin---------------------
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1146
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 730
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
HCIA security 网络安全学习笔记
06-26
HCIA-Security 网络安全学习笔记笔记涵盖了HCIA-Security 认证考试的重要知识点,包括网络安全、USG 模拟器使用、OSI 模型、TCP/IP 模型、各层协议之间的关系等。 **USG 模拟器使用** USG 模拟器是网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值