2.常见的目录信息泄露
a.目录遍历漏洞:(前端数据包传输的时候没有验证可能会出现)
原理:程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件
b.敏感信息泄露:
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到
1.通过访问url可以直接
2.输入错误的url参数后,错误信息中可能有 *** 作系统中间件等信息
c.前端的源码里面包含敏感信息
3.常见的源码泄露案例
Web源码泄露浅析
4.目录扫描工具-dirbuster
一、robots.txt
网站内的robots.txt文件
二、目录爆破
御剑niktodirbusterwebdirscan...
三、第三方资源引用
JsSDK
DirBuster
owasp项目,dirbuster是一个多线程的基于java的应用程序设计用于暴力破解web应用服务器上的目录名和文件名的工具
具体 *** 作步骤如下:
1.URL设置;
2.线程数设置;
3.选择爆破字典;
4.取消选择递归查询;
5.开始运行
优点可以扫出网站的结构,就非常的好
https://habo.qq.com/
里面应用可以对后门程序进行扫描
网站的图片扫描件可以下载,步骤如下:1、打开扫描仪,将扫描仪的数据线接到电脑上,放好需要扫描的纸张或证件。
2、打开电脑,找到扫描仪驱动安装后的扫描程序,打开它。
3、右键扫描程序,可以看到一些扫描类型的选项,根据扫描后要保存的文件类型选择扫描类型就可以了,点击某一扫描类型,就开始扫描文件了。
4、扫描完成文件后,就会出来一个保存的提示窗口,选择保存的目录,保存好即可。
5、保存好扫描后的文件,找到对应的文件路径,打开后就可以看到刚才扫描户的扫描件效果了。这样就把文件扫描大电脑上面了。
1、寻找管理员后台,有时候我们得到了管理员的账号和密码,但是却苦于找不到后台。这时候我们可以对着网站上的图片点右键,查看其属性。有时的确能找到后台的。
2、扫web绝对路径,众所周知,在入侵asp.net的网站时,我们首先就是在aspx文件前加上一个“~”来尝试扫出web的绝对路径。
3、入侵时获得管理员名称,有时候在入侵类似于新闻发布网的网站时,注入得到了管理员密码,可以随便打开一个新闻,然后仔细找找诸如“提交者”“发布者”之类的字眼,一般“提交者”就是管理员的名称了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)