最新CMS指纹识别技术
指纹识别
1.CMS简介
CMS(Content Management System,内容管理系统),又称整站系统或文章系统,用于网站内容管理。用户只需下载对应的CMS软件包,部署、搭建后就可以直接使用CMS。各CMS具有独特的结构命名规则和特定的文件内容。
目前常见的CMS有DedeCMS、Discuz、PHPWeb、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。
2.CMS指纹的识别方法
可以将CMS指纹识别分为四类:在线网站识别、手动识别、工具识别和Chrome浏览器插件(Wappalyzer)识别。不同的识别方法得到的结果可能不同,只需要比较不同结果,选取最可靠、最全面的结果。
(1)在线网站识别。
在线网站识别的主要工具如下。
BugScaner
潮汐指纹识别
云悉指纹识别
如图1-22所示,使用WhatWeb在线识别网站对“xxxxx.com”进行CMS指纹识别。
从检测结果中可以看出,“xxxxx.com”使用的中间件为Nginx,使用了Bootstrap框架进行开发。如果使用了某种CMS,则CMS的指纹信息也会显示。
图1-23所示为使用云悉指纹识别对某网站进行CMS指纹识别的结果。可以看到,该网站使用了用友致远OA的办公系统,并且使用了绿盟网站云防护系统。
(2)手动识别。
根据HTTP响应头判断,重点关注X-Powered-By、Cookie等字段。
根据HTML特征,重点关注body、title、meta等标签的内容和属性。
根据特殊的CLASS类型判断,HTML中存在特定CLASS属性的某些DIV标签。
(3)工具识别。
指纹检测工具可以快速识别一些主流的CMS,并且当我们需要批量识别资产时,使用工具的多线程选项会帮助我们更快速地得到识别结果。如图1-24所示,使用WhatWeb工具对“xxxxx.com”进行指纹识别。
检测结果和在线版WhatWeb在内容详细程度上有所差异,但在主要的检测内容上基本一致,其中对参数“-v”的设置能起到返回详细检测内容的作用。命令行版WhatWeb还支持批量检测及插件管理,非常适合批量梳理Web资产指纹信息。
常用的CMS指纹检测工具如下。
Ehole
Glass
14Finger
WhatWeb工具版
(4)Chrome浏览器插件(Wappalyzer)识别。
Wappalyzer是一款功能强大且非常实用的Chrome网站技术分析插件,通过该插件能够分析目标网站所采用的平台构架、网站环境、服务器配置环境、JavaScript框架、编程语言、中间件架构类型等参数,还可以检测出CMS的类型。
如图1-25所示,用该插件检测出“xxxxx.com”使用的Web中间件为Nginx。要想获得更多信息,读者可以根据自己的喜好开通高级权限来检测。
如果以上工具中没有目标网站的CMS指纹,则有可能目标网站是经过二次开发或完全自主开发的。这时,就需要寻找目标的一些突出特征,与当前目标有很强关联性的代码、目录、文件名,或者是网站的ICO图标文件。
得到相同网站的信息后,就可以通过渗透的手段,对其他网站进行渗透。这种手段在目标防控非常严格时比较有效,可以获得安全防护较为薄弱的网站,甚至是目标的测试站的信息,以曲线方式得到源代码,然后进行代码审计。
也可以在GitHub中搜索特征串或特征文件名,有可能获得二次开发前的CMS源码。
相关文章:
最新CMS指纹识别技术
指纹识别 1.CMS简介 CMS(Content Management System,内容管理系统),又称整站系统或文章系统,用于网站内容管理。用户只需下载对应的CMS软件包,部署、搭建后就可以直接使用CMS。各CMS具有独特的…...
快速入门学习记录:常用代码、特定函数、复杂概念和特定功能说明
😀前言 本篇博文是关于Java入门学习的一些常用记录,希望你能够喜欢 🏠个人主页:晨犀主页 🧑个人简介:大家好,我是晨犀,希望我的文章可以帮助到大家,您的满意是我的动力&a…...
【win视频播放器】HEVC视频扩展
问题描述: 播放此视频需要新的编解码器 编解码器允许应用读取并播放不同文件。可以从Microsoft Store下载该编解码器 ¥7.00 现在获取 稍后再说 解决方法: 方法一:(该方法我正常使用) 链接:ht…...
React+Typescript 父子组件事件传值
好 之前我们将 state 状态管理简单过了一下 那么 本文 我们来研究一下事假处理 点击事件上文中我们已经用过了 这里 我们就不去讲了 主要来说说 父子之间的事件 我们直接来编写一个小dom 我们父组件 编写代码如下 import Hello from "./components/hello";functio…...
python人工智能和机器学习
人工智能和机器学习是当今科技领域最热门和前沿的话题之一。随着数据的爆炸式增长和计算能力的提升,人工智能和机器学习在各个领域都有广泛的应用。Python作为一种易学易用且功能强大的编程语言,已经成为人工智能和机器学习的首选工具之一。本文将介绍Py…...
[PyTorch][chapter 51][Auto-Encoder -1]
目录: 简介 损失函数 自动编码器的类型 一 AutoEncoder 简介: 自动编码器是一种神经网络,用于无监督学习任务.(没有标签或标记数据), 例如降维,特征提取和数据压缩. 主要任务: 1: 输入数据 …...
Uniapp或者微信小程序如何动态的计算Scrollview的高度
当一个小程序页面,顶部有搜索栏,或者分类查询时,我们想要保证它们能固定到顶部,就需要使用到Scrollview,那么如何确定Scrollview就是一个问题,这时我们可以使用以下代码来实现 setScrollHeight(view #scr…...
Abase数据库管理系统
Abase数据库管理系统的架构介绍如下: 1. 概述 Abase是一个开源的分布式数据库中间件,实现MySQL数据库的自动扩缩容、故障转移和查询路由。 2. 功能架构 - 读写分离:拆分为主从两套服务 - 自动扩缩容:根据负载水平完成扩容 - 负载均衡:基于查询解析的路由 - 故障转移:快速切换…...
系统架构设计高级技能 · 大数据架构设计理论与实践
系列文章目录 系统架构设计高级技能 软件架构概念、架构风格、ABSD、架构复用、DSSA(一)【系统架构设计师】 系统架构设计高级技能 系统质量属性与架构评估(二)【系统架构设计师】 系统架构设计高级技能 软件可靠性分析与设计…...
ubuntu上使用osg3.2+osgearth2.9
一、介绍 在ubuntu上使用osgearth加载三维数字地球,首先要有osg和osgearth的库,这些可以直接使用apt-get下载安装,但是版本有些老,如果需要新版本的就需要自己编译。 #查看现有版本 sudo apt-cache madison openscenegraph #安装…...
C语言巧妙打印64位整数
使用C语言打印64位整数时,如果用的是32位编译器,那么打印如下, int64_t data 0x1234567890123456; printf("0x%llx\n", data);如果是64位编译器,那么打印代码如下, int64_t data 0x1234567890123456; pr…...
c语言每日一练(11)
前言:每日一练系列,每一期都包含5道选择题,2道编程题,博主会尽可能详细地进行讲解,令初学者也能听的清晰。每日一练系列会持续更新,暑假时三天之内必有一更,到了开学之后,将看学业情…...
SLAM十四讲学习笔记 第二期:部分课后实践代码
持续更新.... 前期准备第二讲实验一:简单输出 第五讲任务一:imageBasics(Ubuntu配置opencv)任务二:双目匹配点云(Ubuntu配置pangolin)检验部分我认为可以加深对CMake的理解 任务三:r…...
Android kotlin 跳转手机热点开关页面和判断热点是否打开
Android kotlin 跳转手机热点开关页面和判断热点是否打开 判断热点是否打开跳转手机热点开关页面顺带介绍一些其他常用的设置页面跳转 其他热点的一些相关知识Local-only hotspot 参考 判断热点是否打开 网上方法比较多,我这边使用了通过WifiManager 拿反射的getWi…...
Redis 执行 RDB 快照期间,主进程可以正常处理命令吗?
执行了 save 命令,会在主进程生成 RDB 文件,由于和执行操作命令在同一个线程,所以如果写入 RDB 文件的时间太长,会阻塞主进程。 执行 bgsave 过程中,由于是交给子进程来构建 RDB 文件,主进程还是可以继续工…...
Python加入Excel--生产力大提高|微软的全方面办公
Python作为一种功能强大的编程语言,已经逐渐成为了数据分析、机器学习、Web开发等领域的主流语言之一。而将Python集成到Excel中,则可以为Excel用户提供更加强大的数据处理和分析能力,同时也可以为Python开发者提供更加便捷的数据处理和可视化…...
Excel 分组排名
分组排名 公式:SUMPRODUCT((A:AA2)*(C:C>C2)) 1 降序:> 改为 < ⚠️注意1:此处空值参与排名;不参与排名则公式改为:IF(C2“”,“”,SUMPRODUCT((A:AA2)*(C:C>C2)) 1) ⚠️注意2:相同值的项…...
Redis初始以及安装
"梦却了无影踪,梦仍不曾改动" 初始Redis (1) Redis是什么? 要认识、学习一个软件,最重要的途径无一是去该软件的官方文档里瞅瞅、转悠转悠。 从官方文档的介绍中得知,Redis是一种工作于内存,…...
react导出、导入文件
导出文件: if (res) {let binaryData [];binaryData.push(res);let blobUrl ;blobUrl res;// let blobUrl window.URL.createObjectURL(new Blob(binaryData, { type: application / zip }));console.log(blobUrl);const eleLink document.createElement(a);el…...
Redis——String)
(一)Redis——String
以下是在Ubuntu上安装Redis的步骤: 打开终端并输入以下命令以更新软件包列表:sudo apt update输入以下命令以安装Redis:sudo apt install redis-server SET key value GET key key & value 区分大小写 127.0.0.1:6379> set name no…...
DeepSeek-R1-Distill-Qwen-7B功能体验:Ollama部署后,实测推理速度提升3倍
DeepSeek-R1-Distill-Qwen-7B功能体验:Ollama部署后,实测推理速度提升3倍 1. 模型背景与核心优势 1.1 模型技术背景 DeepSeek-R1-Distill-Qwen-7B是华为昇腾与阿里达摩院技术协作的产物,通过知识蒸馏技术将DeepSeek-R1(660B参数…...
告别‘unbox’失败:Truffle项目初始化保姆级教程,从MetaCoin到自定义合约
告别‘unbox’失败:Truffle项目初始化保姆级教程,从MetaCoin到自定义合约 当你第一次接触Truffle框架时,那种兴奋感可能很快就会被truffle unbox metacoin命令失败的红字提示浇灭。别担心,这几乎是每个区块链开发者的必经之路。本…...
BilibiliDown终极实战指南:解锁B站视频批量下载的完整方案
BilibiliDown终极实战指南:解锁B站视频批量下载的完整方案 【免费下载链接】BilibiliDown (GUI-多平台支持) B站 哔哩哔哩 视频下载器。支持稍后再看、收藏夹、UP主视频批量下载|Bilibili Video Downloader 😳 项目地址: https://gitcode.com/gh_mirro…...
Sketch设计文件命名自动化:RenameIt插件企业级批量重命名解决方案
Sketch设计文件命名自动化:RenameIt插件企业级批量重命名解决方案 【免费下载链接】RenameIt Keep your Sketch files organized, batch rename layers and artboards. 项目地址: https://gitcode.com/gh_mirrors/re/RenameIt 在现代化设计工作流中ÿ…...
)
从CTF逆向实战出发:手把手教你用Python脚本破解RC4和Base58加密(附完整代码)
从CTF逆向实战出发:手把手教你用Python脚本破解RC4和Base58加密(附完整代码) 在CTF竞赛中,逆向工程题目往往涉及各种加密算法的识别与破解。本文将聚焦两种常见加密方式——RC4和Base58,通过Python脚本实现从算法识别到…...
DeerFlow资源优化实践:控制Python执行环境内存占用方法
DeerFlow资源优化实践:控制Python执行环境内存占用方法 1. 认识DeerFlow:您的智能研究助手 DeerFlow是一个基于LangStack技术框架开发的深度研究开源项目,它就像是您的个人研究团队,能够帮您完成各种复杂的调研任务。这个工具整…...
双屏生产力拉满!YogaBook 9i 多屏操作玩法与效率指南
YogaBook 9i 凭借独特的双屏设计,打破了传统笔记本的使用边界,成为移动办公、创意创作、高效学习的热门机型。但很多用户拿到手后,只把它当作普通笔记本使用,没能发挥双屏协同的真正优势,多任务处理、分屏操作、跨屏交…...
ThinkPad 4G/5G 连网不支持 IPv6?一文教你判断与设置
很多用 ThinkPad 内置 4G/5G 模块上网的用户,在使用 IPv6 相关服务、测速或网络诊断时,会发现自己明明设备很新,却始终无法获取 IPv6 地址,甚至误以为电脑硬件不支持。尤其在办公、远程、云服务等场景,IPv6 支持与否直…...
)
避坑指南:在华为云上为Python老项目配置代码检查与自动化构建(以Flask应用为例)
避坑指南:在华为云上为Python老项目配置代码检查与自动化构建(以Flask应用为例) 当我们需要将一个遗留的Python项目迁移到现代化开发流程时,往往会遇到各种"历史包袱"。本文将以一个从Python 2.7升级到3.7的Flask应用为…...
d2s-editor终极指南:5分钟学会暗黑破坏神2存档可视化编辑
d2s-editor终极指南:5分钟学会暗黑破坏神2存档可视化编辑 【免费下载链接】d2s-editor 项目地址: https://gitcode.com/gh_mirrors/d2/d2s-editor 还在为暗黑破坏神2存档修改而头疼吗?复杂的十六进制编辑、看不懂的二进制数据、一不小心就损坏的…...