ipad做电影网站,wordpress 访问记录,南通网站建设南通,今天重大新闻头条新闻国际新闻信息打点-WEB应用-源码获取 文章目录 信息打点-WEB应用-源码获取小节概述-思维导图资产架构-源码获取#xff08;后端#xff09;后端-开源后端-闭源-源码泄露源码泄露原因源码泄露方式集合网站备份压缩包git#xff0c;svn源码泄露DS_Store文件泄露composer.json 泄露资源搜…信息打点-WEB应用-源码获取 文章目录 信息打点-WEB应用-源码获取小节概述-思维导图资产架构-源码获取后端后端-开源后端-闭源-源码泄露源码泄露原因源码泄露方式集合网站备份压缩包gitsvn源码泄露DS_Store文件泄露composer.json 泄露资源搜索 问题1、识别出网站大致信息但是却无法下载资源找不到2、未识别出网站信息使用码云获取资源3、其他行业开发使用对口资源站获取 检索语法GITHUB资源搜索关键字配合谷歌搜索 小节概述-思维导图 资产架构-源码获取后端
获取程序源码用于代码审计白盒测试即从代码中挖掘漏洞。
有无源码影响测试类型 无源码-黑盒测试 有源码-白盒测试代码审计、黑盒测试都可做
源码的架构体系对黑盒测试也很有帮助 源码开源网上能搜索到公开的源码 源码闭源网上搜不到不公开 后端-开源
通过指纹识别平台识别出CMS然后在搜索出源码
网站中文件目录脚本文件 -- GitHub
后端-闭源-源码泄露
源码泄露原因
1、从源码本身的特性入口
2、从管理员不好的习惯入口
3、从管理员不好的配置入口
4、从管理员不好的意识入口
5、从管理员资源信息搜集入口 其实都是管理员的一些开发习惯、配置不当等一些问题造成的源码泄露 源码泄露方式集合 composer.json git源码泄露 svn源码泄露 网站备份压缩文件 DS_Store 文件泄露 hg源码泄漏 WEB-INF/web.xml 泄露 SWP 文件泄露 CVS泄露 Bzr泄露 GitHub源码泄漏
网站备份压缩包
扫描网站目录可能会扫到网站备份压缩包。管理员将源码打包备份到网站目录
gitsvn源码泄露
git/svn残留目录利用直接判断网站下有无/.git /.svn 目录
工具gitHack/svnHack 源码可能会加密 - 常见php加密-zend DS_Store文件泄露
Mac开发下可能会残留的
可以利用工具得到目录架构
composer.json
对方开发完未将该文件删掉也会泄露一些源码
泄露资源搜索
通过信息搜索
QQ号邮箱地址作者名注释关键信息
通过特征文件搜索
JS文件名脚本文件名
问题
1、识别出网站大致信息但是却无法下载资源找不到
2、未识别出网站信息使用码云获取资源 程序员社区OSchina、GitHub、Gitee 有些程序员会将自己项目的源码放在个人社区空间 在目标上发现的一些特征文件特征命名特征字符串等都可以成为搜索条件来进行源码搜索
涉及网站
https://gitee.com/
https://github.com/
https://www.huzhan.com/
3、其他行业开发使用对口资源站获取
和传统行业的途径不同而且使用面也仅仅是它们行业。
互站网现在比较少
检索语法
GITHUB资源搜索
in:name test #仓库标题搜索含有关键字
in:descripton test #仓库描述搜索含有关键字
in:readme test #Readme文件搜素含有关键字
stars:3000 test #stars数量大于3000的搜索关键字
stars:1000…3000 test #stars数量大于1000小于3000的搜索关键字
forks:1000 test #forks数量大于1000的搜索关键字
forks:1000…3000 test #forks数量大于1000小于3000的搜索关键字
size:5000 test #指定仓库大于5000k(5M)的搜索关键字
pushed:2019-02-12 test #发布时间大于2019-02-12的搜索关键字
created:2019-02-12 test #创建时间大于2019-02-12的搜索关键字
user:test #用户名搜素
license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java
test #在java语言的代码中搜索关键字
user:test in:name test #组合搜索,用户名test的标题含有test的
关键字配合谷歌搜索
site:Github.com smtp
site:Github.com smtp qq.com
site:Github.com smtp 126.com
site:Github.com smtp 163.com
site:Github.com smtp sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
