四:WEB原始碼擴充套件
阿新 • • 發佈:2020-12-30
前言:WEB原始碼在安全測試中是非常重要的資訊來源,可以用來進行程式碼審計漏洞也可以用來做資訊突破口,其中WEB原始碼有很多技術需要簡明分析,獲取某ASP原始碼後就可以採用預設資料庫下載為突破,獲取某其他指令碼漏洞可以進行程式碼審計挖掘或者分析其業務邏輯,總之原始碼的獲取將為後期的安全測試提供了更多的思路。
知識點:
關於WEB原始碼目錄結構 關於WEB原始碼指令碼型別 關於WEB原始碼應用分類 關於WEB原始碼其他說明 資料庫配置檔案,後臺目錄,模板目錄,資料庫目錄 ASP,PHP,ASPX,JSP,JAVAWEB等指令碼型別原始碼安全問題 社交,論壇,門戶,第三方,部落格等不同的程式碼機制對應漏洞 開源,未開源問題,框架和非框架問題,關於CMS識別問題及後續 關於原始碼獲取的相關途徑:搜尋,鹹魚淘寶,第三方原始碼站,各種行業對應 總結: **關注應用分類及指令碼型別猜出存在的漏洞(框架型別外),在獲取原始碼後可進行本地安全測試或者程式碼審計,也可以分析出其目錄工作原理(資料庫備份,bak檔案等),未獲取到的原始碼採用各種方法獲取。** 針對ASP,PHP等原始碼下安全測試 平臺識別-某CMS無漏洞-預設資料庫 平臺識別-某CMS無漏洞-漏洞利用 原始碼應用分類下的針對漏洞 niushop電商類關注漏洞點-業務邏輯 簡要目標從識別到原始碼獲取 本地演示個人部落格-手工發現其CMS-漏洞搜尋或者下載分析