关于WEB源码目录结构
数据库配置文件,后台目录,模版目录,数据库目录等,admin
网站后台 、data
数据相关、member
会员目录、install 安装目录、template 模板目录、Includes/con/config
配置文件。
关于WEB源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题
关于WEB源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞
关于WEB源码其他说明
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应
CMS:“内容管理系统”。 内容管理系统是企业信息化建设和电子政务的新宠。
CMS组成要素:
○ 文档模板
○ 脚本语言或标记语言
○ 与数据库集成
CMS识别:
在线工具:
指纹识别
云悉
- 平台识别-某CMS无漏洞-默认数据库
比如:xycms程序搭建的,下载源码后,在其目录里,xycms-utf8-v4.6 ,有一个xydate目录:
进入目录,存在一个mdb文件(ASP脚本特有的数据库文件):
用软件easyaccess打开,可以看到管理员账号密码:
然后,进入后台登录。
网站攻击成功。