好友
阅读权限10
听众
最后登录1970-1-1
|
通常在代码审计的前提是拿到源代码,下面介绍一些源代码协力的途径以及利用技巧
常见备份文件
如果有读取权限,可以直接通过 url 读,常见备份文件如下
.index.php.swp
.index.php.swo
index.php~
index.php.txt
index.php.bak
index.php.old
整站源码备份文件
www
wwwdata
wwwroot
web
webroot
backup
dist
在后面加上各种压缩文件的后缀名
.zip
.tar
.tar.gz
.7z
.rar
通常这些拿个工具扫一下就可以了,或者自己编写个 python 代码去扫
Git 泄露- github
- .git ---> 这个必须会,在 ctf 比赛中通常是 .git 泄露
SVN 泄露 ---> 与 .git 泄露差不多
关于代码审计的方式有很多,这里推荐一本书伊毅写的书 《代码审计:企业级Web代码安全架构》
代码自动审计工具: Seay 源代码审计系统
这个程序就是伊毅写的,很好用~
网站目录结构
·Database 目录 //存放的数据库,我们可以通过该目录下载网站的数据库
Edutor //编辑器目录
Guestbook //来宾目录
setup //安装目录
Inc(config) //配置文件目录
data //数据库目录
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2021-1-1 17:48
