首页 > 其他分享 >信息收集-内容发现

信息收集-内容发现

时间:2023-02-21 19:56:43浏览次数:24  
标签:Web 收集 网站 JavaScript 信息 内容 源代码 页面

首先,我们应该问,在 Web 应用程序安全的背景下,什么是内容?内容可以是很多东西,文件、视频、图片、备份、网站功能。当我们谈论内容发现时,我们并不是在谈论我们可以在网站上看到的显而易见的东西;这些东西并没有立即呈现给我们,而且并不总是供公众访问。

例如,此内容可以是供员工使用的页面或门户、网站的旧版本、备份文件、配置文件、管理面板等。我们将介绍在网站上发现内容的三种主要方式
*手动(Manually)
*自动(Automated)
*OSINT(开源情报)

探索网站

作为渗透测试人员,您在审查网站或 Web 应用程序时的职责是发现可能存在漏洞的功能并尝试利用它们来评估它们是否存在。这些功能通常是网站的一部分,需要与用户进行一些交互。

查找网站的交互部分就像发现登录表单以手动查看网站的 JavaScript 一样简单。一个很好的起点就是用您的浏览器浏览网站并记下各个页面/区域/功能,并为每个页面/区域/功能做一个总结。

查看页面源代码

页面源代码是每次我们发出请求时从 Web 服务器返回给我们的浏览器/客户端的人类可读代码。

返回的代码由 HTML(超文本标记语言)、CSS(层叠样式表)和 JavaScript 组成,它告诉我们的浏览器要显示什么内容,如何显示它并添加与 JavaScript 的交互元素。

出于我们的目的,查看页面源可以帮助我们发现有关 Web 应用程序的更多信息。

只需要右键->查看源代码(View source),或者快捷键(Ctrl + U)即可查看页面源代码、

查看页面源代码往往是我们的第一步,这十分的重要,可能存在<!-- 内容-->的内容,这是HTML代码的注释,有些时候,开发人员为了做标记,会将一些用户测试信息添加到页面注释:例如网站默认密码。
在源代码中需要注意的有:

  • 注释内容,可能存在敏感信息
  • a标签、img标签、script标签可以发现隐藏的文件或路径,常见于src、href、action属性
  • 引用JavaScript、CSS代码的地址
  • 可能存在框架版本信息

标签:Web,收集,网站,JavaScript,信息,内容,源代码,页面
From: https://www.cnblogs.com/Junglezt/p/17142188.html

相关文章

  • springboot读取配置信息,环境变量的方法
    前提配置文件一般是值resources目录下的application.properties或application.yml,其中保存着配置信息代码中实现配置注入的方法使用@Value注解@Value("${test.msg}")......
  • 查看麒麟操作系统信息
     [root@localhost~]#nkvers##############KylinLinuxVersion#################Release:KylinLinuxAdvancedServerreleaseV10(Lance)Kernel:4.19.90-5......
  • io信息记录
    磁盘IO#!/bin/shCURRENT_DIR=$(cd$(dirname$0)pwd)PIDFILE="$CURRENT_DIR/disk.pid"iostat-x-k-d11>>io-disk.log&pidstat-d11>>io-thread.l......
  • Query Store查询存储脚本收集
    各种书上,博客上,收集的有关QueryStore查询存储的脚本,收集控----CheckDiskUsageStatusAndOtherSettings----查看使用空间,以及其他QueryStore设置select*fr......
  • java在filter中修改一个http请求出入参内容
    response保存了请求的返回信息,里面有个outputstream,你要返回给页面的流,都在这个地方保存. 之前遇到一个问题,想把outputstream修改一下.因为这是个输出流,想要改这个里......
  • Unity客户端框架收集
    转载:https://blog.csdn.net/t163361/article/details/106499225LoxodonFrameworkhttps://github.com/cocowolf/loxodon-frameworkMVVM框架;支持XLua,可以完全使用Lua脚本......
  • 信息加密
    介绍信息加密信息加密是实现数据保密性的手段。信息加密(Encryption)是将明文信息转换为密文信息,使之在缺少特殊信息时不可读的过程。只有拥有解密方法的对象,经由解密过程,......
  • 特定业务场景数据收集,帮助解决用户具体操作无法确定的问题
    文章背景面向用户使用的产品,即使项目加入了埋点,某些用户描述的操作场景,也比较难确定实际情况。比如提示对话框,有些页面的数据权限是对话框的展现形式,用户这个时候操作了对话......
  • 第一卷《社会工程学:信息的艺术》第六章:信息整合
    根据之前的各种搜索,我们已经得到了很多信息,比如QQ搜索到的全名K歌,微信,支付宝,百度账号等等。手机号搜索到的,抖音,快手,贴吧,小红书等等。那么就根据这些账号里面发的各种帖子......
  • 第一卷《社会工程学:信息的艺术》第四章:手机号能搜索到什么
    手机号如今每个人都有,而且是必需要的通讯产品,但其中也涉及到很多隐私问题,我们经常能碰到各种诈骗电话,就是我们的手机号泄露了,那么诈骗犯是如何得到我们的手机号的呢?多大数......