渗透测试之指纹识别(CMS、CDN、WAF)

原创 已于 2025-02-08 09:48:23 修改 · 7.2k 阅读 · 72 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #php #运维 #系统安全 #服务器

于 2022-05-15 22:18:55 首次发布

        本人小镇做题家产物,本科毕业于某211网络安全专业,从大一全校倒数c++60分,高数70分,线性代数68分逆袭获取绿盟、华为、博世中国等多家top公司实习offer,毕业获取qs前五十院校KCL、HKU等多个offer及多个工作offer。欢迎各位学弟学妹关注微信公众号“外咸瓜说安全”,私信我聊天答疑交流问题,也提供完整的职业规划指导~

目录

什么是指纹识别:

1、cms指纹识别

2、cdn指纹识别:

3、WAF指纹识别:

什么是指纹识别:

通过关键特征,识别出目标的CMS系统、服务器、开发语言、操作系统、CDN、WAF的类别 版本等等。

其中主要识别以下的信息:
1、CMS信息:比如Discuz、织梦、帝国CMS、PHPCMS、ECshop等;
2、前端技术:比如HTML5、jquery、bootstrap、Vue、ace等;
3、开发语言:比如PHP、Java、Ruby、Python、C#等;
4、Web服务器:比如Apache、 Nginx、IIS、lighttpd等;
5、应用服务器:比如Tomcat、Jboss、Weblogic、Websphere等;
6、操作系统信息:比如Linux、win2k8、win7、Kali、Centos等;
7、CDN信息:是否使用CDN,如cloudflare、帝联、蓝讯、网宿、七 牛云、阿里云等;
8、WAF信息:是否使用WAF,如D盾、云锁、宝塔、安全狗、360等

其中cms、cdn、waf的指纹识别比较重要。

1、cms指纹识别

什么是cms

cms是一个内容管理系统,大多数网站的内容都是通过cms来进行内容管理的。
cma包括博客、微博、商城等等。

这些网站都是基于一系列开源的建站系统建立起来的。比如discuz来建立论坛、worfpress来建立博客网站。

不同类型的网站都会使用不同的开源cms系统:
1、 企业建站系统:MetInfo(米拓)、蝉知、SiteServer CMS等;
2、 B2C商城系统:商派Shopex、ECshop、HiShop、XpShop等;
3、 门户建站系统:DedeCMS(织梦)、帝国CMS、PHPCMS、动易、 CmsTop等;
4、 博客系

最低0.47元/天 解锁文章
渗透测试中的信息收集:指纹识别的重要性与应用
盾悟
02-18 1万+
在安全渗透测试过程中,指纹识别(Fingerprinting)是信息收集阶段的核心环节,其目的是通过分析目标的特征数据,精准识别其使用的技术栈、服务版本和系统环境。例如,某些版本的Web服务器CMS可能存在已知的漏洞,指纹识别帮助测试人员准确识别这些信息。进行指纹识别后,渗透测试人员可以根据目标的技术栈和相关信息生成详细的报告,为后续的安全加固和修复提供。指纹识别可以快速锁定目标的潜在弱点,减少无效攻击的尝试,提高渗透测试的效率。的影响,而知道目标使用的技术栈可以帮助渗透测试人员有针对性地选择攻击方式。
信息收集—CMS指纹识别
m0_52903527的博客
06-09 1562
根据关键特征,识别程序名称、版本等信息。通过关键特征,识别出目标的CMS系统、服务器、开发语言、操作系统、CDNWAF的类别版本等等内容管理系统。
渗透测试资产指纹识别工具
Thunderclap的博客
11-26 2346
渗透测试资产指纹识别工具
Kali Linux渗透测试实战 2.2 操作系统指纹识别.pdf
01-06
Kali Linux渗透测试实战 2.2 操作系统指纹识别
渗透测试与红队打点必备:13款指纹识别工具盘点​​。从零基础到精通,理论与实践结合的最佳路径!
最新发布
小司机的奥拓
09-17 1162
文章介绍了红队作战初期阶段指纹识别的重要性及13款实用工具,包括EHole、XTeam-Wing/httpx、侦查守卫等。这些工具帮助安全人员快速定位关键系统、识别开发框架、发现漏洞,支持攻防演练。各工具特色功能各异,如FOFA语法识别、端口探测、技术指纹检测等,适用于不同场景的资产梳理与漏洞测绘。在红队作战的初期阶段中,指纹识别是进行资产梳理与漏洞测绘的核心环节。面对海量的互联网资产,如何快速定位关键系统、识别开发框架、并精准发现存在漏洞的系统,成为了拿分的关键。
渗透测试 | 几款常用的CMS识别「Web指纹识别」扫描脚本&工具(含下载地址)
.
08-22 3608
在对「靶标资产」进行渗透测试的前期,通常需要对「靶标资产」进行相关的信息收集,而对「靶标资产」进行Web指纹信息扫描也是信息收集当中很关键的一部分。 能否有效识别出「靶标资产」的Web指纹信息,主要还是取决于扫描脚本&工具内置的「指纹信息特征库」,而今天介绍的这几款常用的CMS识别「Web指纹识别」扫描脚本&工具,它们的指纹库的覆盖情况也是相对比较OK的。但在一些特殊的渗透测试环境中,还是需要根据测试情况对指纹库进行优化&规整,从而提升指纹识别的效率。 表格中列出的是一些能够..
渗透测试 | 指纹识别
尼泊罗河伯的博客
05-25 2421
渗透测试中,指纹识别是一种不可小觑的技术,它可以用来识别目标系统、应用程序、操作系统等。通过识别目标网站的指纹,可以得到系统结构以及潜在的攻击面,那么渗透测试人员就可以通过这个攻击面对目标站点进行严密的渗透测试
网络渗透中的指纹识别
jhf223344的博客
03-16 5699
主要内容:指纹是网站CMS指纹识别,计算机操作系统及web容器的指纹识别
CMSCDNWAF指纹识别
hacker3062的博客
09-18 940
WAF的分类:硬件型(天融信之类的),云WAF(阿里云、腾讯云等),软件型WAF(部署在apache,nginx,httpserver等网络服务器中)CMSCMS常用语快捷建站,常见的有wordpress、Z-blog、Discuz、织梦、帝国CMSPHPCMS、ESshop等。通过关键特征,识别出目标的CMS系统、服务器、开发语言、OS操作系统、CDNWAF、的类别版本。WAF:是否采用了WAF,例如安全狗,腾讯云、天融信、D盾、云锁、宝塔、360等。
CMS指纹识别 绕过cdn查找网站真实ip借助网络空间搜索引擎
代码审计
04-12 4627
CMS在线识别工具 http://finger.tidesec.com/ https://fp.shuziguanxing.com/#/ http://whatweb.bugscaner.com/look/ github开源工具 CMSeek-master Webfinger-master WhatWeb-master 什么是CDNCDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台
Kali Linux渗透测试实战 2.2 操作系统指纹识别
weixin_34365635的博客
12-27 695
目录 2.2 操作系统指纹识别... 1 2.2.1 Banner抓取... 1 2.2.2 TCP 和 ICMP 常规指纹识别技术... 3 TCP数据报格式... 4 ICMP首部格式... 5 TTL与TCP窗口大小... 5 FIN探测... 5 BOGUS flag 探测... 6 TCP ISN 抽样... 6 IPID 抽样... 6 TCP Times...
轻量CMS指纹识别 v2.1
04-25
轻量CMS指纹识别 v2.1 (去除更新优化版) 这款工具的最大亮点在于扫描的速度非常之快,相信大家会喜欢的。
[Nmap渗透测试指南]第四章(指纹识别与探测)
大方子
06-05 1932
4.2 版本探测 -sV     通过端口识别相应的服务   nmap -sV 192.168.223.133     4.3全端口版本探测 --allports   加上这个选项使nmap扫描全部端口   nmap   -sV --allports 192.168.133.122   4.4设置扫描强度 --version-intensity      默认为7     ...
CMS指纹识别
Web安全工具库
08-13 5302
一、源码目录 1、admin:后台源码 2、content:数据库与源码连接的源码 3、error:报错源码 4、include:包含文件源码 5、config:网站的配置信息 6、index:网站的主页源码 7、init:初始化源码 8、robots:爬虫规则 二、抓包分析cms指纹信息 1、通过BurpSuite抓取访问数据包 2、百度或谷歌搜索这些绝对路径:/e/member/login/loginjs.php?t=,直接就可以知道这是帝国cms 3、在线探
***测试踩点之httprint指纹识别技术
weixin_34326179的博客
05-21 553
Http指纹识别现在已经成为应用程序安全中一个新兴的话题,Http服务器和Http应用程序安全也已经成为网络安全中的重要一部分.从网络管理的立场来看,保持对各种web服务器的监视和追踪使得Http指纹识别变的唾手可得,Http指纹识别可以使得信息系统和安全策略变的自动化,在基于已经设置了审核策略的特殊的平台或是特殊的web服务器上,安全测试工具可以使用Http指纹识别来减少...
渗透测试—渗透网站信息收集(网站指纹识别,敏感文件及目录探测,网站waf识别)
Tthttl的博客
03-07 865
**Nmap**:使用Nmap工具的http-waf-detect和http-waf-fingerprint脚本进行WAF识别。5. **目录探测**:使用工具如**dirsearch**、御剑后台扫描工具、**dirmap**等进行目录枚举,寻找敏感目录。- **F12查看响应头Server字段**:在浏览器中按F12打开开发者工具,查看网络请求的响应头中的Server字段。3. **.svn泄露**:与.git类似,都是版本控制系统的相关文件,可能导致源代码泄露。
免费的CMS指纹识别系统
weixin_45631123的博客
07-01 1209
WPScan:WPScan 是一个针对WordPress网站的安全扫描工具,不仅可以识别 WordPress 网站,还可以帮助用户发现 WordPress 站点的漏洞和弱点。BuiltWith:BuiltWith 是一个在线工具,可以帮助用户查看网站的技术堆栈和使用的技术平台,包括 CMS 系统、Web 服务器、JavaScript 框架等。CMSmap:CMSmap 是一个开源的CMS指纹扫描工具,可以帮助用户自动识别网站使用的CMS系统和版本号。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值