信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份
|
#知识点: 1、业务资产-应用类型分类 2、Web单域名获取-接口查询 3、Web子域名获取-解析枚举 4、Web架构资产-平台指纹识别 ------------------------------------ 1、开源-CMS指纹识别源码获取方式 2、闭源-习惯&配置&特性等获取方式 3、闭源-托管资产平台资源搜索监控 #章节点 Web:语言/CMS/中间件/数据库/系统/WAF等 系统:操作系统/端口服务/网络环境/防火墙等 应用:APP对象/API接口/微信小程序/PC应用等 架构:CDN/前后端/云应用/站库分离/OSS资源等 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等 |
| 标签 |
名称 |
地址 |
| 指纹识别 |
在线cms指纹识别 |
http://whatweb.bugscaner.com/look/ |
| 指纹识别 |
Wappalyzer |
https://github.com/AliasIO/wappalyzer |
| 指纹识别 |
TideFinger潮汐 |
TideFinger 潮汐指纹 TideFinger 潮汐指纹 |
| 指纹识别 |
云悉指纹 |
yunsee.cn-2.0 |
| 指纹识别 |
WhatWeb |
https://github.com/urbanadventurer/WhatWeb |
| 指纹识别 |
数字观星Finger-P |
指纹收录平台 |
演示案例:
- 后端-开源-指纹识别-源码下载
- 后端-闭源-配置不当-源码泄漏[1] [2]
- 后端-方向-资源码云-源码泄漏
#后端-开源-指纹识别-源码下载CMS识别见上述项目 #后端-闭源-配置不当-源码泄漏参考:https://www.secpulse.com/archives/124398.html 浅谈Web源码泄漏 - FreeBuf网络安全行业门户 备份:敏感目录文件扫描CVS:https://github.com/kost/dvcs-ripper GIT:https://github.com/lijiejie/GitHack SVN:https://github.com/callmefeifei/SvnHack DS_Store:https://github.com/lijiejie/ds_store_exp 源码泄漏原因:1、从源码本身的特性入口 2、从管理员不好的习惯入口(压缩包放在网站目录下面) 3、从管理员不好的配置入口 4、从管理员不好的意识入口 5、从管理员资源信息搜集入口 源码泄漏集合:composer.json git源码泄露(验证只需要将网站后面跟上.git即可)
svn源码泄露 hg源码泄漏 网站备份压缩文件 WEB-INF/web.xml 泄露 DS_Store 文件泄露 SWP 文件泄露 CVS泄露 Bzr泄露 GitHub源码泄漏 #后端-方向-资源GITHUB-源码泄漏解决1:识别出大致信息却无下载资源 解决2:未识别出信息使用码云资源获取 解决3:其他行业开发使用对口资源站获取 涉及:https://gitee.com/ https://github.com/ https://www.huzhan.com/ GITHUB资源搜索:in:name test #仓库标题搜索含有关键字 in:descripton test #仓库描述搜索含有关键字 in:readme test #Readme文件搜素含有关键字 stars:>3000 test #stars数量大于3000的搜索关键字 stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字 forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素 license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字 user:test in:name test #组合搜索,用户名test的标题含有test的 关键字配合谷歌搜索:site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password site:Github.com String password smtp |
网站源码泄露:
直接下载网站的源码,查看原本js文件的位置,找对应的js文件目录,尝试访问目录下面其他文件。文章来源:https://www.toymoban.com/news/detail-834573.html
文章来源地址https://www.toymoban.com/news/detail-834573.html
到了这里,关于web安全学习笔记【12】——信息打点(2)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
