关于WEB源码目录结构
数据库配置文件,后台目录,模版目录,数据库目录等,admin网站后台 、data数据相关、member会员目录、install 安装目录、template 模板目录、Includes/con/config配置文件。

关于WEB源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题

关于WEB源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞

关于WEB源码其他说明
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应

CMS:“内容管理系统”。 内容管理系统是企业信息化建设和电子政务的新宠。
CMS组成要素:
○ 文档模板
○ 脚本语言或标记语言
○ 与数据库集成
CMS识别:
在线工具:
指纹识别
云悉

  1. 平台识别-某CMS无漏洞-默认数据库
    比如:xycms程序搭建的,下载源码后,在其目录里,xycms-utf8-v4.6 ,有一个xydate目录:

    进入目录,存在一个mdb文件(ASP脚本特有的数据库文件):

用软件easyaccess打开,可以看到管理员账号密码:


然后,进入后台登录。

网站攻击成功。

小迪安全笔记02-web源码扩展相关推荐

  1. 《小迪安全》第4天 Web源码扩展

    目录 目录 前言(简要介绍) 实践 1. 数据库配置文件,后台目录,模版目录,数据库目录 2. ASP, PHP, ASPX, JSP, JavaWeb 等脚本类型源码对应的安全问题 3. 社交/论坛 ...

  2. 【小迪安全day04】WEB 源码拓展--web源码目录、脚本类型、应用分类、cms识别

    WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析. 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其 ...

  3. 【小迪安全学习笔记】基础入门-Web源码拓展

    前言:Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析.比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本 ...

  4. B站小迪安全笔记第4天-WEB源码拓展

    前言: WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析. 比如:获取某 ASP 源码后可以采用默认数据库下载为突破 ...

  5. 小迪渗透测试学习笔记(四)基础入门-WEB源码拓展

    前言: WEB源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其 ...

  6. K8s基础知识学习笔记及部分源码剖析

    K8s基础知识学习笔记及部分源码剖析 在学习b站黑马k8s视频资料的基础上,查阅了配套基础知识笔记和源码剖析,仅作个人学习和回顾使用. 参考资料: 概念 | Kubernetes 四层.七层负载均衡的 ...

  7. Spring3.0.5源码扩展支持AOP 获取HttpServletResponse

    Spring3.0.5源码扩展支持AOP 获取HttpServletResponse.老项目直接升级Spring版本风险无法评估,所以直接扩展Spring包支持低版本没有的功能. 目录 Spring扩 ...

  8. 渗透测试-基础入门-web源码拓展_4

    一如既往的学习,一如既往的整理,一如既往的分享 一.前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取AS ...

  9. spring源码扩展点与实战(二)

    在上一篇文章<spring源码扩展点>,我们简单的介绍了 spring 的几个常用扩展点,了解了 BeanPostProcessor, BeanFactoryPostProcessor, ...

最新文章

  1. 从代码层读懂Java HashMap的实现原理
  2. QT的QCalendarWidget类的使用
  3. PyCharm 代码格式化工具:black
  4. python matplotlib设置字体_Matplotlib中修改字体属性
  5. 基于9款CSS3鼠标悬停相册预览特效
  6. 【jQuery】jQuery对本地json的读取和遍历
  7. golang断言的使用(Type Assertion)
  8. 记录——《C Primer Plus (第五版)》第九章编程练习第一题
  9. 转换和删除重复命令tr
  10. 重读微积分(八):全微分和法线
  11. 如何配置一台电脑。(一次解决电脑基础知识和如何选择合适电脑)
  12. 使用GO实现尚硅谷家庭记账系统
  13. 人生的三把钥匙,太经典了!
  14. linux 设备树 usb控制器,linux 设备树中 dwc3 节点的phys参数含义
  15. Spring Boot使用jasypt处理加密问题
  16. 如果不从事编程,我可以做什么?
  17. python opencv 读取视频保存视频片段和图片
  18. 智能手机高端“酣战”,转机在何方?
  19. JS实现字符串加密解密
  20. cursor :ponter;

热门文章

  1. 有哪些值得关注的技术博客
  2. Appnuim作业题
  3. 电视剧《我是业主》演员表,主要演员
  4. iOS 利用摄像头闪光灯测心率绘画心率图
  5. 5.网站404错误--404页面制作方法详解(下)
  6. importlib-metadata 4.8.2 is installed but importlib-metadata<4.3 is required by {‘flake8‘}
  7. 命运歌姬服务器停服维护中,命运歌姬2月27日更新什么? 2月27日双端维护内容公告...
  8. Android腾讯微博分享
  9. Java mail接收邮件 回复邮件 转发邮件
  10. 亚马逊常用API接口,亚马逊国际获得AMAZON商品详情 API 返回值说明