【网络安全】web源码详解及拓展

简介: 【网络安全】web源码详解及拓展

一、WEB源码目录结构

  1. 网站的脚本类型:asp脚本(从index.asp判断出)
  2. 网站的管理后台:admin目录
  3. 网站的数据:data目录,包含数据库配置文件
  4. asp脚本的数据库为.mdb文件
  5. 最主要是数据库配置文件:config.脚本
  6. 模板文件:template文件,网站的架构

二、WEB源码脚本类型

ASP,PHP,ASPX,JSP,JAVAWEB 等脚本类型源码安全问题

https://websec.readthedocs.io/zh/latest/language/index.html

三、WEB源码应用分类

  1. 框架开发:直接找脚本语言框架的漏洞
  2. 非框架开发:找代码的漏洞
  3. Cms识别(网上开源代码):如何判断是用什么程序搭建的 --> 网上公开漏洞
    1. 开源能识别并且在网上下载(白盒)
    2. 内部:没有源码或不知道 --> 常规的渗透测试(黑盒)
    3. 源码获取:扫描工具扫描备份文件 --> cms获取源码 --> 特定渠道(非法网站源码)
  1. 社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞
  2. 关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站 --> 菜鸟源码,各种行业对应 --> 源码之家,站长下载

关注应用分类及脚本类型估摸出可能存在的漏洞(其中框架类例外),在获取源码后可进行本地安全测试(自己搭建扫描)或代码审计,也可以分析其目录工作原理(数据库备份,bak 文件等),未获取到的源码采用各种方法想办法获取!

CMS的识别

人工识别:简单的观察

工具识别:扫描特定文件(不推荐)

cms识别平台:
http://whatweb.bugscaner.com/
https://www.yunsee.cn/

四、ASP,PHP安全测试

  1. 查看网站信息
  2. 信息识别
  3. 通过源码的查看数据库位置
  4. 网站访问路径下载数据库
  5. 通过数据库获得管理员的密码 --> md5解密
  6. 通过源码分析,进入管理员登录界面
目录
相关文章
|
2月前
计算机网络:思科实验【1-访问WEB服务器】
计算机网络:思科实验【1-访问WEB服务器】
计算机网络:思科实验【1-访问WEB服务器】
|
1月前
|
SQL 存储 数据库
基于Web技术的在线考试系统的设计与实现(论文+源码)_kaic
基于Web技术的在线考试系统的设计与实现(论文+源码)_kaic
|
1月前
|
Java 关系型数据库 MySQL
基于Web的影院信息管理系统设计与实现(论文+源码)_kaic
基于Web的影院信息管理系统设计与实现(论文+源码)_kaic
|
6天前
|
JavaScript Java 测试技术
基于Java的网络游戏交易系统的设计与实现(源码+lw+部署文档+讲解等)
基于Java的网络游戏交易系统的设计与实现(源码+lw+部署文档+讲解等)
18 0
|
9天前
|
JavaScript Java 测试技术
基于Java的网络游戏交易平台信息管理系统的设计与实现(源码+lw+部署文档+讲解等)
基于Java的网络游戏交易平台信息管理系统的设计与实现(源码+lw+部署文档+讲解等)
24 1
|
11天前
|
JavaScript Java 测试技术
基于Java的网络类课程思政学习系统的设计与实现(源码+lw+部署文档+讲解等)
基于Java的网络类课程思政学习系统的设计与实现(源码+lw+部署文档+讲解等)
29 0
基于Java的网络类课程思政学习系统的设计与实现(源码+lw+部署文档+讲解等)
|
16天前
|
安全 中间件 网络安全
网络安全-搭建安全拓展
【4月更文挑战第3天】搭建安全拓展
19 0
|
18天前
|
SQL 前端开发 Java
五邑大学餐厅网络点餐系统设计与实现(包含完整源码详细开发过程)
五邑大学餐厅网络点餐系统设计与实现(包含完整源码详细开发过程)
|
1月前
|
存储 测试技术 数据库
基于WEB的院校课程管理系统设计与实现(论文+源码)_kaic
基于WEB的院校课程管理系统设计与实现(论文+源码)_kaic
|
1月前
|
前端开发 Java 测试技术
基于Web的一站式养老院的设计与实现(论文+源码)_kaic
基于Web的一站式养老院的设计与实现(论文+源码)_kaic