Web安全实践(6)web应用剖析之信息提炼
2008-11-06 13:31:31 来源:WEB开发网核心提示:前言 web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案(第二版)》的内容做的实践研究和部分编程实现,所以如果您能完全理解那本书可以跳过本文章,Web安全实践(6)web应用剖析之信息提炼, 另外我需要更多的像我一样的人来参与这项工作,QQ群:23364518, 当然我们可以
前言
web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案(第二版)》的内容做的实践研究和部分编程实现。所以如果您能完全理解那本书可以跳过本文章。
另外我需要更多的像我一样的人来参与这项工作。QQ群:23364518,我的QQ:717532978. 博客园内的请加入技术安全区。
这几天断网,又到招聘会赶场,所以一直没写新文章。今天重新整理了一下思路,做个web应用剖析的终结篇,毕竟是时间有限。我没有太多的精力去详细到描述每一个细节,我发布QQ群的目的是希望更多的人来讨论研究。可是参加的人很多却没人愿意来做,都只是旁观。
正文
自动化工具帮我们得到了关于目标站点的一个完整的地图,如果你下载了整个站点,我么可以利用它的搜索功能进一步得到一些细节信息。当然我们要面对爬行工具的缺陷,很多工作还是离不开手工的。对于细节信息我们大概从以下几个方面去考虑。
6.1 动态页面和静态生成页面
静态页面是不能用来测试工具和提交任何请求的,我们要关注它的注释或者其他信息,也许会有意外的发现。动态页面是和服务器交互的页面,也是我们入侵服务器的通道。把所有页面划分成这两类很简单,只需根据扩展名来区分就可以了。
6.2目录结构和目录名,文件名
网站架构是非常有规律的,我们可以通过目录结构和目录名大概推测出各个目录与文件的功能。
特权目录如 /admin/ /adm/等
备份或日志文件目录 如/back/ /log/ 等
文件包含目录如/inc/ /include/ /js/ /global/ /local/等
国际化目录如/en/ /eng/等。
当然我们可以推测一些可能存在的隐含目录,然后向这些目录发送请求,根据提示信息判断。
- ››Web服务器和应用服务器的区别
- ››安全的Win 8系统减肥攻略
- ››安全度过网站排名的四个时期技巧
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››安全第一 Windows 7五件应该知道的事
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
更多精彩
赞助商链接