web源码可以用来进行代码审计漏洞,或者成为一个信息突破口。例如ASP源码--采用默认数据库下载,脚本源码可以用来进行代审或者分析业务逻辑。

一、web源码的目录结构

后台目录,模板目录,数据库目录,数据库配置文件等

二、web源码脚本类型

中间件--脚本--数据库

脚本,数据库和容器是相互的关系。

1.不同的脚本源码,数据库存储不一样

2.编译型输出和解释型

3.语言安全:不同的脚本语言写源码涉及到的安全漏洞不一样

三、web源码应用分类(源码类型决定漏洞类型)

类别:

  1. 门户---综合型漏洞
  2. 电商---业务逻辑突出
  3. 论坛---XSS,逻辑突出
  4. 博客---漏洞较少
  5. 第三方---根据功能决定

不同脚本如何利用:5. 语言与框架 — Web安全学习笔记 1.0 文档

四、web源码其他说明

  • 框架或非框架:框架--常用的功能集成,如果识别出了框架,直接寻找框架漏洞
  • CMS识别:可以通过查看源码的MD5值来识别框架(CMS指纹识别库,特有文件匹配MD5值)

linux下:

md5sum命令

windows下:

certutil -hashfile filename MD5
certutil -hashfile filename SHA1
certutil -hashfile filename SHA256

CMS指纹识别库:CMS指纹识别 -

note4-WEB源码拓展相关推荐

  1. 基础入门-web源码拓展

    基础入门-web源码拓展 前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取ASP源码后可以采用默认数据库 ...

  2. 渗透测试-基础入门-web源码拓展_4

    一如既往的学习,一如既往的整理,一如既往的分享 一.前言 web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取AS ...

  3. 【小迪安全学习笔记】基础入门-Web源码拓展

    前言:Web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析.比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本 ...

  4. 第4篇:基础入门~Web源码拓展

    目录 前言 正文 总结: 演示案例 案例1:ASP,PHP 等源码下安全测试 操作XYCMS: metinfo: 字典识别CMS 案例2:源码应用分类下的针对漏洞 案例3:简要目标从识别到源码获取 涉 ...

  5. B站小迪安全笔记第4天-WEB源码拓展

    前言: WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析. 比如:获取某 ASP 源码后可以采用默认数据库下载为突破 ...

  6. 【小迪安全day04】WEB 源码拓展--web源码目录、脚本类型、应用分类、cms识别

    WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析. 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其 ...

  7. 小迪渗透测试学习笔记(四)基础入门-WEB源码拓展

    前言: WEB源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析. 比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其 ...

  8. 深入剖析Spring Web源码(十九) - 整理的文档和日志的索引(第一版)

    整理的文档 把所有的<深入剖析Spring Web>系列日志整理成为文档,供大家下载阅读,希望对大家有所帮助.里面有些章节尚未完成,所以称为第一版.希望不久的将来,能把没有完成的章节在第二 ...

  9. ssh税务管理系统web源码

    ssh税务管理系统web源码 eclipse安装jee项目mysql 编号:74100640543665008山竹Coding

  10. 《小迪安全》第4天 Web源码扩展

    目录 目录 前言(简要介绍) 实践 1. 数据库配置文件,后台目录,模版目录,数据库目录 2. ASP, PHP, ASPX, JSP, JavaWeb 等脚本类型源码对应的安全问题 3. 社交/论坛 ...

最新文章

  1. 关于召开全国大学生智能车竞赛--百度智慧交通项目 培训通知(华中站)
  2. 【Electron】C++ 扩展Node 系列 (一)
  3. 大数计算器概念c语言,用C语言求两个超大整数的和
  4. dell笔记本外接显示器_使用笔记本电脑外接大屏幕液晶显示器的体验
  5. 查看loadrunner代码行号
  6. android中的Package替换流程
  7. 4、elasticsearch安装head插件
  8. win7旗舰版梦幻桌面高清视频下载
  9. stm32+ESP8266实现最简单的手机控制LED灯
  10. VTK系列57_VTK对几何体网格细化(多分辨率处理)
  11. mysql查询统计不及格人数_MySQL,查询及格人数,不及格人数
  12. 缺少编译器要求的成员“System.Runtime.CompilerServices.ExtensionAttribute..ctor” 解决方案
  13. 身边有位“别人家的程序员”是什么样的体验?
  14. python signal模块_Python signal 信号模块和进程
  15. 第二课 模糊遮罩相框
  16. 《笨办法学python3》再笨的人都能学会python,附PDF,拿走不谢
  17. Networkx使用指南
  18. rj45 千兆接口定义_rj45接口定义,大神教你秒懂rj45的接线方法【详细方法】
  19. 【菜鸟窝阿里算法专家Chris】当机会出现时,多一种武器,就多一分机会。
  20. 【接入指南 之 云云接入】快速接入HONOR Connect平台(上)

热门文章

  1. 或许你一辈子都是个小人物
  2. outlook服务器邮件满了怎么办,outlook邮箱满了怎么清理
  3. (一)前端html+css学习笔记
  4. 在路上——黄山、宏村
  5. 实现Discord聊天机器人
  6. Python计算细胞核与细胞质的面积比opencv或pil实验
  7. 艾美智能影库服务器ip,华语视听,家庭影院,发烧音响,智能家居,私人影院,声学装修,专业音箱-艾美影库 MS-300...
  8. java contains 大小写_使用.contains方法忽略大小写的选项?
  9. 参数化设计的意义——Autodriver
  10. HTML 引用小图标