web渗透--9--识别web应用框架

已于 2022-02-20 22:40:04 修改
阅读量4.4k 收藏 18
点赞数 9
分类专栏: web渗透 文章标签: web安全 渗透测试 OWASP安全测试
于 2018-09-11 23:55:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82634738
版权
本文介绍了Web渗透测试中识别应用框架的重要性,包括黑盒测试中的HTTP头、cookies、HTML源代码检查及特有文件和目录的探测。测试人员可通过HTTP响应头的X-Powered-By字段、特定的Cookies、HTML注释和框架特有的文件来识别框架。同时,文章提出了加固措施,如修改配置、混淆HTTP头、更改Cookie名称、删除暴露信息的元素和不必要的文件,以增强Web应用的安全性。
摘要由CSDN通过智能技术生成

1、概述

Web框架指纹识别是信息收集过程中的一个重要任务。获悉目标框架的类型必然为测试人员带来极大的优势,如果该框架在之前就被测试过。测试人员不仅可以获得未修补版本中存在的漏洞,还可以了解此框架中特有的错误配置以及已知的文件结构。从而使指纹识别过程显得格外重要。

2、测试方法

黑盒测试

可以查找几个最常见的位置来确定当前框架:

1、HTTP 头
2、cookies
3、HTML源代码
4、特殊文件和文件夹

1、HTTP 头

最基本识别web框架的方式是查看HTTP响应报头中的X-Powered-By字段。许多工具可以用来识别目标的指纹,最简单一个是netcat。

如:

X-Powered-By: Mono                         //web应用框架是Mono
2、cookies

更可靠的方法是查看HTTP请求包(注意是请求包)特有的Cookies,如:

Cookie: CAKEPHP=sidfiwhefjdcsfowjoef;      //web应用框架是CakePHP

常见cookies中可识别

了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
专栏目录
订阅专栏
70.WEB渗透测试-信息收集- WAF、框架组件识别(10)
计算机王的博客
07-08 182
信息收集,waf识别
web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 7040
【渗透思路】框架敏感信息泄露
78.WEB渗透测试-信息收集-框架组件识别利用(2)
最新发布
计算机王的博客
07-28 320
Web渗透测试,信息收集,框架组件识别利用
python主流web框架识别
zb0567的专栏
02-22 1522
想学习web框架,又想熟悉python,问题来了,有没有极简的数据来支撑快速开发,特来研究 不能去研究几十个,没时间,研究主流的即可 Django、Tornado、Flask、Twisted。 所谓网络框架是指这样的一组Python包,它能够使开发者专注于网站应用业务逻辑的开发,而无须处理网络应用底层的协议、线程、进程等方面。这样能大大提高开发者的工作效率,同时提高网络应用程序的质量。 在...
网站框架识别方法
wutiangui的博客
09-11 779
他只依赖于正则表达式,只需要一个浏览器上载入的页面就能工作。cms一般有dedecms(织梦),dzcms,phpweb,phpwind,phpcms,ecshop,dvbbs,siteweaver,aspcms,帝国,zblog,wordpress等。网盘链接:https://pan.baidu.com/s/18T_m7jJseJFROPf2Oa88-A。还可以扫描多个目标,并将结果保存在out.txt,新建111.txt文件,输入多个目标地址,保存。网站: http://wappalyzer.com。
如何做好架构之识别问题
starsliu
03-02 376
按照之前架构的定义,做好架构首先需要做的就是识别出需要解决的问题。一般来说,如果把真正的问题找到,那么问题就已经解决了80%了。这个能力基本上就决定了架构师的水平。 那么面对问题有哪些困难呢? 我们先看一则笑话。女主人公:老公,把袋子里的土豆切一半下锅。结果老公是把袋子里的每个土豆都削了一半,然后下锅。 当然很多人会说,这个是沟通问题,然后一笑了之。其实,出现这个现象是由于我们大部分
如何检测Web网站使用的是什么JS框架--一个很好用的工具
limx_liam的专栏
05-26 9779
<br />如何查看Web 平台使用的Js 框架:<br />打开:http://oskarkrawczyk.github.com/wtframework/<br />在这个中间的图片页面上右击,Add BookMarks。(添加到书签中)<br /> <br />打开你要查看Web 平台:<br />如:http://www.zulutrade.com<br /> <br />然后单击书签中的wtframework选项。<br /> <br />然后在你的要查看的web 平台的右上角 出现该平台使用的Js
(完整word)Web-应用安全探测技术原理及最佳实践.doc
11-15
Web应用程序进行安全检测,识别潜在的安全威胁和漏洞。 1. 安全探测技术原理: Web应用安全探测主要涉及对应用程序的代码、网络通信、数据库交互等层面进行深入检查,以发现可能导致数据泄露、非法访问、拒绝...
一款基于Python-Django的多功能Web安全渗透测试工具源码.zip
05-08
Django是Python编程语言中的一款高级Web框架,它遵循MVT(Model-View-Template)设计模式,强调可重用性和“干”(DRY, Don't Repeat Yourself)原则。它的核心特性包括ORM(对象关系映射)系统,用于处理数据库操作;...
web渗透系列教学下载共64份.zip
12-30
web渗透系列教学下载共64份: 内容如下; web渗透--1--web安全原则.pdf web渗透--10--不安全的HTTP方法.pdf ...web渗透--7--识别web应用框架.pdf web渗透--8--配置管理测试.pdf web渗透--9--身份管理测试.pdf
Python-LightBulb是一个开源的python框架用于审计web应用程序防火墙
08-10
Python-LightBulb是一个专为Web应用程序防火墙(WAF)审计设计的开源框架。它提供了一个全面的工具集,帮助安全研究人员和渗透测试人员检测和评估WAF的效能,以及发现潜在的安全漏洞。通过使用Python语言,LightBulb...
图像识别框架
破晓的专栏
08-16 5228
https://www.qcloud.com/community/article/485985  图像识别框架
渗透测试框架
cnbird's blog
09-24 1080
http://www.pentest-standard.org
Python Web框架上的CMS在线识别
qianduan520的博客
10-26 2303
文本是在上一篇 Python Web框架上的在线高精度IP定位 的基础上在新增一个CMS识别的功能最终实现的效果图 0x01 CMS识别原理CMS识别原理就是得到一些CMS的一些固有特征,通过得到这个特征来判断CMS的类别。这里我们使用MD5识别的方式,就是用特定的文件路径访问网站,获得这个文件的MD5,如果和已知MD5相同的话就可以判断这个CMS了 所以,这个识别的成功率是根据我们的字典来的...
网站框架的区别
mengxiao12345678的博客
09-23 214
根据上图可以看到:自己写一个网站,需要a\b\c三方面的工作。 而web框架也就是将这几方面的工作不用自己再去进行了,框架都提供了。 比如tornado框架就是提供了abc三方面都提供了。 django框架提供了bc,但是没有提供a,因此a也使用第三方的框架wsgiref来完成。 flash的框架提供了b,没有提供a、c。 ngix就是web服务a的第三方框架 ...
渗透测试方法&web架构&信息收集
nidaxin的博客
12-17 779
一,渗透测试 1.渗透测试方法论—>安全评估(网络、应用、系统) 2.渗透测试种类: 1)黑盒测试:不清楚内部技术构造,从外部评估网络基础设施的安全性和引发安全事故的攻击模式 2)白盒测试:可获取被测单位的内部资料,全面消除内部安全问题,增大从单位外部渗透系数难度 白盒测试+常规研发生命周期:可在入侵者发现漏洞前消除隐患【时间、成本、技术门槛比黑盒测试低】 3)脆弱性评估【漏洞扫描+防御策略】与渗透测试【漏洞发现、入侵、破坏性】:分析企业资产安全威胁程度,评估内部和外部的安全控制的安全
DedeCMS织梦框架识别
weixin_46411728的博客
11-22 327
DedeCMS框架
Web应用渗透测试:指纹识别与信息收集
"这篇资源是关于Web渗透测试的中期指南,主要聚焦于应用程序指纹识别这一关键环节。在进行Web安全测试时,首先需要通过指纹识别获取服务器和应用程序的相关信息,以便发现潜在的安全漏洞并制定有效的攻击策略。文章...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值