0
点赞
收藏
分享

微信扫一扫

RabbitMQ消息的重复消费问题

婉殇成长笔记 03-04 07:00 阅读 5
Web安全

目录

开源-CMS指纹识别源码获取方式

闭源-习惯&配置&特性等获取方式

闭源-托管资产平台资源搜索监控

思维导图


开源-CMS指纹识别源码获取方式

如果你看到一个网站

标签

名称

地址

指纹识别

在线cms指纹识别

http://whatweb.bugscaner.com/look/

指纹识别

Wappalyzer

https://github.com/AliasIO/wappalyzer

指纹识别

TideFinger潮汐

TideFinger 潮汐指纹 TideFinger 潮汐指纹

指纹识别

云悉指纹

yunsee.cn-2.0

指纹识别

WhatWeb

https://github.com/urbanadventurer/WhatWeb

指纹识别

数字观星Finger-P

指纹收录平台

除了CMS识别,指纹识别还包括Web框架、中间件、组件等的识别,可以使用如下工具

CMS识别见上述项目

  • 使用扫描工具扫描出搭建的源码为Zblog
  • 搜索并下载该源码,查看源码目录
  • 通过源码目录进行数据访问:回写数据403文件夹存在(判断是该源码)

403:文件夹存在

确定源码后(开源的),就可以进行代码审计

闭源-习惯&配置&特性等获取方式

参考文章:https://www.secpulse.com/archives/124398.html

git源码泄露

403:文件夹存在,说明有该漏洞

示例:

python GitHack.py http://www.openssl.org/.git/

svn源码泄露

示例:

python SvnHack.py -u http://x.x.x.x/.svn/entries  —download

网站备份压缩文件

网站后台扫一下文件即可,比如:御剑等

DS_Store 文件泄露

安装:pip install ds-store requests

用例:

ds_store_exp.py http://hd.zj.qq.com/themes/galaxyw/.DS_Store

PHP特性-composer.json泄漏

  • name:表示包的名称
  • description:表示包的描述
  • version:表示包的版本
  • type:表示包的类型
  • keywords:表示一组用于搜索与筛选的与包相关的关键字
  • homepage:表示项目网站的url地址
  • readme:表示README文档的绝对路径
  • time:表示包的版本发布时间
  • license:表示包的许可证
  • authors:表示包的作者
  • support:表示获取对项目支持的信息对象
  • require:表示必须安装的依赖包列表
  • autoload:表示PHP自动加载的映射
  • minimum-stability:定义了按稳定性过滤包的默认值
  • repositories:表示自定义的安装源
  • config:表示一组配置选项
  • script:表示Composer允许在安装过程的各个部分执行脚本
  • extra:表示scripts使用的任意扩展数据

闭源-托管资产平台资源搜索监控

解决1:识别出大致信息却无下载资源

解决2:未识别出信息使用码云资源获取

同"程"交友:可以在这些程序员发布源码的网站进行搜索

打开已经知道网址选中带有相关性数据包,选中其请求URL在github中搜索

一般选用一些js,css文件,图片文件不选

查找到不确定的源码目录,一一对应后,采用替换域名访问的方式来确定

  • 找到源码或者通过抓包获取到的数据包可以进行以下操作
  • 利用sumlime软件打开源码文件夹,使用在文件夹中查找例如qq.com
  • 查找到相关留下的联系方式名称等信息
  • 使用这些信息再去github中查询寻找源码
  • 找到相关代码

解决3:其他行业开发使用对口资源站获取

https://www.huzhan.com/
https://28xin.com/
https://bbs.bcb5.com/
https://www.shixinwl.com/
https://www.lengcat.com/
https://www.xlymz.com/
https://www.ymadx.com/

思维导图

举报

相关推荐

RabbitMQ 如何防止重复消费

0 条评论