WEB源码在安全测试中是非常重要的信息来源

WEB源码在安全测试中是十分重要的信息来源，可以用来代码审计漏洞也可以用来做信息突破口，其中WEB源码有众多科技必须简明分析。--小迪安全笔记

一、web源码的敏感目录

1.数据库配置文件中是，my.ini一般在安装的根目录下

1.1数据库的配置文件不用多说，数据库里保存了我们长期的数据，而数据库配置文件记录了数据库的位置。

1.2后台目录

1.3模版目录

1.4数据库目录等

二、关于web源码脚本类型

ASP,PHP,ASPX,JSP,等脚本类型源码，不同的语言写的代码，容易发生的漏洞也不同，可以按照语言一些易于发生的漏洞进行对于性检测。

三、应用分类

社交，论坛，门户，第三方，博客等不同的代码制度对应漏洞不一样，比如电商的网站非常容易发生逻辑漏洞，在之前有的系统在订单的页面抓包将数量设置为-1的话就可以实现0元购。这也就是逻辑漏洞。再例如门户容易出现xss逻辑漏洞php门户网站源码，那么对应用进行分类的含义就是可以按照不同应用的漏洞进行对于性检测。

四、关于web源码的一些其它针对网络安全的意义

4.1框架：

包括有了web源码可以去看下用到没用到框架，用到了哪些框架。去网上看看这个框架有没有漏洞可以进行利用。

4.2CMS（这是网站的内容管理平台的总称）：

4.2.1

如何去找到某个网站用的CMS：

可以根据web源码，游览器抓包查找一些文件里面的模式之后去浏览器搜索有些可以找到该网站用的CMSphp门户网站源码，style.css：这个文件可以拿来生成md5值来查寻cms框架。可以借助网站刷新时读取的文件来搜索cms。还有一些网页可以进行线上的CMS指纹检测。

4.2.2那么上面说到MD5的值这是一种广泛使用的密钥异或函数，用于保证信息存储完整一致。（原理是借助一种特定的算法计算这个文件最起初的MD5的值，如果被更改了这么这个文件重新计算的MD5的值还会出现变化）

那么怎样在平台上看某个文件的md5的值呢-文件名.文件类型

4.3开源或内部:

4.3.1开源就是我们将要有源码，我们可以直接去看源码找一些代码中的漏洞，进行代码审计。

4.3.2内部就是我们没有源码只能按照现有网页进行信息采集，进行漏洞的挖掘。

4.5源码获得

关于源码获取的相关方法：搜索，咸鱼淘宝，第三方源码站

本文来自网络，如有侵权请联系网站客服进行删除