小迪安全笔记02-web源码扩展

最新推荐文章于 2023-03-31 19:50:11 发布
原创 最新推荐文章于 2023-03-31 19:50:11 发布 · 4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

本文探讨了WEB源码的目录结构,包括数据库配置、后台、模板等关键部分,以及不同脚本类型如ASP, PHP, ASPX的安全隐患。同时,提到了不同应用类型的代码机制和可能的漏洞。此外,内容还涉及开源与未开源源码、CMS识别方法,以及源码获取的渠道。通过实例展示了CMS识别过程,强调了源码安全对于防止网站攻击的重要性。

关于WEB源码目录结构
数据库配置文件,后台目录,模版目录,数据库目录等,admin网站后台 、data数据相关、member会员目录、install 安装目录、template 模板目录、Includes/con/config配置文件。


关于WEB源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题


关于WEB源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞


关于WEB源码其他说明
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应

CMS:“内容管理系统”。 内容管理系统是企业信息化建设和电子政务的新宠。
CMS组成要素:
○ 文档模板
○ 脚本语言或标记语言
○ 与数据库集成
CMS识别:
在线工具:
指纹识别
云悉

  1. 平台识别-某CMS无漏洞-默认数据库
    比如:xycms程序搭建的,下载源码后,在其目录里,xycms-utf8-v4.6 ,有一个xydate目录:
    在这里插入图片描述
    进入目录,存在一个mdb文件(ASP脚本特有的数据库文件):
    在这里插入图片描述

用软件easyaccess打开,可以看到管理员账号密码:


然后,进入后台登录。

 网站攻击成功。

 

black^sugar
关注
【小安全学习笔记】基础入门-Web源码拓展
Akrios的博客
05-14 1150
前言:Web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中Web源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 知识点: 关于Web源码目录结构 数据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径 data 数据相关目录 install 安装目录 member
Day04 基础入门-WEB源码扩展
风羽墨客的博客
12-10 1940
WEB 源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。
-web源码拓展
qq_39416206的博客
03-29 2431
web源码拓展
Web源码扩展
chocomoss的博客
09-23 313
Web源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 Web 源码有很多技术需要简明分析。 知识点 1、index.php 根据文件后缀判定 2、admin 网站后台路径 3、data 数据相关目录 4、install 安装目录 5、member 会员目录 6、template 模板目录(和网站相关的整体架构) 关于Web源码应用分类 社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞 开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等 拿到对方的源
web源码扩展
bin_sh_yidian的博客
08-09 545
知识点: 关于源码的脚本类型 关于web源码的应用分类 关于源码的其他说明 数据库配置文件,后台目录,模板目录,数据库目录等
《小安全》第4天 Web源码扩展
m0_56250796的博客
03-31 573
WEB源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。如:获取某ASP源码后可以以默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等。总之,源码的获取将为后期的安全测试提供了更多的思路。关于WEB源码目录结构关于WEB源码脚本类型关于WEB源码应用分类关于WEB源码其他说明拿到源码必须可以从中获取目录结构便于了解架构;不同脚本语言/框架,数据库存储不一样、涉及到的安全漏洞也不一样;
精选资源
java笔记 Java-Web笔记 J2EE三大框架笔记
10-19
通过这些笔记,开发者可以学习到如何设计和实现一个完整的Java Web应用,包括数据库设计、前后端交互、安全控制等方面。 总的来说,这些笔记资料是学习Java Web和J2EE开发的宝贵资源,它们将帮助你构建扎实的Java...
B站小安全视频笔记-第一天
m0_61530426的博客
07-07 2115
安全课程笔记
SPBT 源码学习笔记 - spbt-0707-test-java-web
11-19
【标题】"SPBT 源码学习笔记 - spbt-0707-test-java-web" 指的是一份关于SPBT(可能是某个特定软件或框架的缩写)源码的学习资料,专注于测试和Java Web开发部分。这份笔记可能详细解析了SPBT在Java Web环境中的工作...
-网络安全-笔记(01)
Y的博客
03-13 3285
网络安全——学习笔记(01)
xycms add_ad.php sql注入漏洞1
08-03
漏洞简介:XYCMS原名为南京XYCMS企业建站系统,所设计的版本分为动态版和静态版。这里发现 siteinfo 里面的参数没有进行任何过滤,直接post请求带
XYCMS企业建站系统
08-16
XYCMS企业建站系统是以asp+access进行开发的企业建站系统。 网站功能: 安全性:防SQL注入,自动锁定入侵的IP地址,防XSS攻击,具有很好的过滤系统 功能简述: 企业信息管理:包括基本
XYCMS生物科技公司源码 v3.8.rar
最新发布
04-02
XYCMS生物科技公司源码 v3.8.rar
XYCMS企业建站系统 v1.0
10-18
网站后台路径admin/ 用户名,密码都是admin 企业信息管理:包括基本信息管理,添加,在线报名信息管理,问答中心信息管理 新闻中心管理:管理新闻信息内容,管理相关分类,添加或者删除 产品内容管理:对产品类别进行管理,分为大类和小类,发布最新产品信息 客户案例管理:对客户案例内容进行管理,可以按地区分类,分为大类和小类 招聘信息管理:发布一些招聘信息,在线应聘,后台查看应聘者详细信息 网页广告管理:包括一些图片广告管理。生成JS调用,增加了对联广告管理和漂浮广告,可以控制是否显示(关闭),功能非常强大 其他信息管理:查看管理员登录记录,可以进行修改操作 系统信息管理 系统设置:进行系统相关基本信息设置,如网站名称,企业信息等基本信息。可以管理是否关闭网站,注册是否审核,留言是否审核 LOGO/形象图片管理:首页LOGO管理,可以设置长宽大小 安全管理:看相关违规操作记录,查询攻击IP地址,自动封闭IP,管理SQL信息 安全设置:根据需要设置一些安全过滤信息 首页菜单管理:可以添加,删除菜单信息,打开窗口,是否显示,是否为头部导航或者底部导航栏 管理员管
XYCMS留言板PHP版源代码
03-18
XYCMS留言板是以php+MySQL进行开发的php留言板源码,软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。 安装路径:/install 后台路径:/system/ 后台默认用户名,密码都是admin 进行安装后方可访问首页index.php,然后访问后台管理。 环
4.基础入门-WEB源码拓展
山兔的博客
09-11 250
一、渗透流程 获取到源码的渗透流程:先判断他是不是框架,如果是的话就寻找他框架的漏洞,如果不是的话一行一行的去找他代码的漏洞,cms识别可以通过人工、工具、平台识别来判断,在得知他是开源的直接找漏洞或代码审计,如果是内部的就进行常规的渗透测试。 源码获取:备份获取、CMS识别后获取,特定源码特定获取(闲鱼、淘宝) 二、网站目录 后台目录、模板目录、数据库目录、数据库配置文件 admin网站后台 data数据相关 member 会员相关的东西 Includes/con/config 配置文件 四、应用分
04基础入门:WEB源码拓展
qq_52718293的博客
03-08 5079
1.WEB源码作用 用来代码审计漏洞,做信息突破口。 栗子:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。 2.关于WEB源码目录结构 据库配置文件,后台目录,模板目录,数据库目录等 index.php 根据文件后缀判定 admin 网站后台路径data 数据相关目录 install 安装目录 member 会员目录 template 模板目录(和网站相关的整体架构) data =>
6. 基础入门-web源码扩展
lanziDemo blog
03-18 3032
6. 基础入门-web源码扩展 作用: WEB 源码安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路; WEB 源码目录结构: - 到网站源码后,应重点关注数据库配置文件,后台目录,模版目录,数据库目录等文件,后台目录会有以下关键词:admin,manage
第四天-web源码扩展
m0_51521509的博客
02-28 3641
web源码扩展 分为四大类:目录结构 脚本类型 应用分类 其他补充 目录结构:后台目录 模板目录 数据库目录 数据库配置文件 了解架构便有理解 脚本类型:ASP PHP ASPX JSP JAVAWEB PYTHON … 不同的语言编写源代码造成的漏洞也不一样 不同的语言安全性也不相同 应用分类:门户:综合类漏洞 电商:业务逻辑突出 和交易支付相关代码 使用函数也不一样造成漏洞也不一样 论坛:xss逻辑突出 博客 第三方:根据功能决定 其他… 源码功能决定漏洞类型 在拿到网站源码后要了解要往哪些漏洞上做文章
笔记本小程序后端源码完整项目
这份“小程序源码 笔记本后端 (代码源)”不仅是简单的代码集合,更是一套完整的全栈开发教学案例,覆盖了现代Web后端开发的技术要点,包括但不限于:服务端语言选择、框架应用、数据库设计、API设计、安全机制、性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值