小迪安全笔记02-web源码扩展
关于WEB源码目录结构
数据库配置文件,后台目录,模版目录,数据库目录等,admin
网站后台 、data
数据相关、member
会员目录、install 安装目录、template 模板目录、Includes/con/config
配置文件。
关于WEB源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题
关于WEB源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞
关于WEB源码其他说明
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应
CMS:“内容管理系统”。 内容管理系统是企业信息化建设和电子政务的新宠。
CMS组成要素:
○ 文档模板
○ 脚本语言或标记语言
○ 与数据库集成
CMS识别:
在线工具:
指纹识别
云悉
- 平台识别-某CMS无漏洞-默认数据库
比如:xycms程序搭建的,下载源码后,在其目录里,xycms-utf8-v4.6 ,有一个xydate目录:
进入目录,存在一个mdb文件(ASP脚本特有的数据库文件):
用软件easyaccess打开,可以看到管理员账号密码:
然后,进入后台登录。
网站攻击成功。
小迪安全笔记02-web源码扩展相关推荐
- 《小迪安全》第4天 Web源码扩展
目录 目录 前言(简要介绍) 实践 1. 数据库配置文件,后台目录,模版目录,数据库目录 2. ASP, PHP, ASPX, JSP, JavaWeb 等脚本类型源码对应的安全问题 3. 社交/论坛 ...
- 【小迪安全day04】WEB 源码拓展--web源码目录、脚本类型、应用分类、cms识别
WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析. 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其 ...
- 【小迪安全学习笔记】基础入门-Web源码拓展
前言:Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析.比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本 ...
- B站小迪安全笔记第4天-WEB源码拓展
前言: WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析. 比如:获取某 ASP 源码后可以采用默认数据库下载为突破 ...
- 小迪渗透测试学习笔记(四)基础入门-WEB源码拓展
前言: WEB源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其 ...
- K8s基础知识学习笔记及部分源码剖析
K8s基础知识学习笔记及部分源码剖析 在学习b站黑马k8s视频资料的基础上,查阅了配套基础知识笔记和源码剖析,仅作个人学习和回顾使用. 参考资料: 概念 | Kubernetes 四层.七层负载均衡的 ...
- Spring3.0.5源码扩展支持AOP 获取HttpServletResponse
Spring3.0.5源码扩展支持AOP 获取HttpServletResponse.老项目直接升级Spring版本风险无法评估,所以直接扩展Spring包支持低版本没有的功能. 目录 Spring扩 ...
- 渗透测试-基础入门-web源码拓展_4
一如既往的学习,一如既往的整理,一如既往的分享 一.前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取AS ...
- spring源码扩展点与实战(二)
在上一篇文章<spring源码扩展点>,我们简单的介绍了 spring 的几个常用扩展点,了解了 BeanPostProcessor, BeanFactoryPostProcessor, ...
最新文章
- 从代码层读懂Java HashMap的实现原理
- QT的QCalendarWidget类的使用
- PyCharm 代码格式化工具:black
- python matplotlib设置字体_Matplotlib中修改字体属性
- 基于9款CSS3鼠标悬停相册预览特效
- 【jQuery】jQuery对本地json的读取和遍历
- golang断言的使用(Type Assertion)
- 记录——《C Primer Plus (第五版)》第九章编程练习第一题
- 转换和删除重复命令tr
- 重读微积分(八):全微分和法线
- 如何配置一台电脑。(一次解决电脑基础知识和如何选择合适电脑)
- 使用GO实现尚硅谷家庭记账系统
- 人生的三把钥匙,太经典了!
- linux 设备树 usb控制器,linux 设备树中 dwc3 节点的phys参数含义
- Spring Boot使用jasypt处理加密问题
- 如果不从事编程,我可以做什么?
- python opencv 读取视频保存视频片段和图片
- 智能手机高端“酣战”,转机在何方?
- JS实现字符串加密解密
- cursor :ponter;
热门文章
- 有哪些值得关注的技术博客
- Appnuim作业题
- 电视剧《我是业主》演员表,主要演员
- iOS 利用摄像头闪光灯测心率绘画心率图
- 5.网站404错误--404页面制作方法详解(下)
- importlib-metadata 4.8.2 is installed but importlib-metadata<4.3 is required by {‘flake8‘}
- 命运歌姬服务器停服维护中,命运歌姬2月27日更新什么? 2月27日双端维护内容公告...
- Android腾讯微博分享
- Java mail接收邮件 回复邮件 转发邮件
- 亚马逊常用API接口,亚马逊国际获得AMAZON商品详情 API 返回值说明