本文详细介绍了web信息收集的重要性和方法,包括使用Google Hacking进行子域名、文件类型、URL、标题和正文的搜索,以及利用Shodan和ZoomEye搜索引擎探测IP、服务、操作系统、产品版本等信息,对于网络安全和渗透测试具有指导意义。
一、信息收集概述
1.web信息收集(探测)即web踩点,只要掌握目标web服务的方方面面,是实现web渗透入侵前的准备工作。
2.web踩点内容包括操作系统,服务器类型,数据库类型,web语言,域名信息,网站目录。
3.web信息收集涉及搜索引擎,往账扫描,指纹识别等工作。
二、项目环境:
目标靶机,owasp_Broken_web_Apps_vM_1.2
测试渗透机:win7/kali
三、google Hacking
3.1 site
功能:搜索制定的域名的网页内容,可以用来搜索子域名,更此域名相关的内容。
事例:
site:zihu.com 搜索跟zhihu,com相关的网页
3.2 filetype
功能:搜索指定文件类型
示例
3.3 inurl
功能:搜索url网址存在特定的关键字网页,可以用来搜索有注入点的网站。
3.4 intitle
功能:搜索标题存在特定关键字的网页
intitle :后台登陆 搜索网页标题是"后台登陆“的相关网页
intitle:后台管理 filetype:php 搜索网页标题是”后台管理“的PHP网页
intitle: index of "key
最低0.47元/天 解锁文章
扫一扫
1593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
