4.web源码拓展

前言

WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本 源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为 后期的安全测试提供了更多的思路。

知识点

关于 WEB 源码目录结构

关于 WEB 源码脚本类型

关于 WEB 源码应用分类

关于 WEB 源码其他说明

数据库配置文件,后台目录,模版目录,数据库目录等

ASP,PHP,ASPX,JSP,JAVAWEB 等脚本类型源码安全问题

Web安全学习笔记 1.0 文档 (websec.readthedocs.io)

社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞

Github探测器 GitHub - M4tir/Github-Monitor: Github RCE/0day监控系统 My’Blog:

开源,未开源问题,框架非框架问题,关于 CMS 识别问题及后续等

云悉互联网WEB资产在线梳理|在线CMS指纹识别平台 - 云悉安全平台 (yunsee.cn)

已支持识别的的cms列表,cms识别,源码识别,在线工具–BugScaner

关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应

总结: 关注应用分类及脚本类型估摸出可能存在的漏洞(其中框架类例外),在获取源码后可进行本地安全测试 或代码审计,也可以分析其目录工作原理(数据库备份,bak 文件等),未获取到的源码采用各种方法想 办法获取

在这里插入图片描述

ASP,PHP 等源码下安全测试

平台识别-某 CMS 无漏洞-默认数据库
平台识别-某 CMS 有漏洞-漏洞利用

cms指纹库

CMS指纹识别字典下载_安全文档_小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训,红蓝对抗培训! (xiaodi8.com)

在线cms识别

云悉互联网WEB资产在线梳理|在线CMS指纹识别平台 - 云悉安全平台 (yunsee.cn)

已支持识别的的cms列表,cms识别,源码识别,在线工具–BugScaner

源码应用分类下的针对漏洞

niushop 电商类关注漏洞点-业务逻辑

简要目标从识别到源码获取

本地演示个人博客-手工发现其 CMS-漏洞搜索或下载分析

币圈 thinkphp :http://weipan.1016sangshen.cn/ 内部搭建的靶场

thinkphp漏洞验证工具

人工爆框架-搜索特定 url-获取其他相符站点-漏洞测试

借助特定行业源码或咸鱼进行搜索获取-本地搭建-代码审计或其他

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sec0nd_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值