信息收集思路
1、开发者注释
在网站前端代码中遗留的开发者注释
其中可能包含某些关键信息
💡 使用`F12` 、`Ctrl+U` 、`view-source:` 查看前端源码
3、Robots文件
爬虫协议,网站根目录存在的robots.txt文件,用于告知搜索引擎或爬虫哪些路径和页面不可爬取
该协议没有访问控制的权能,只是与爬虫的一种口头协定
有时运维人员将后台或敏感路径放入robots.txt文件中来避免这些资源暴漏在互联网中
💡 访问`robots.txt`,查看其内容中有无存在敏感信息
</aside>
5、备份文件
由于开发者的疏忽,在网站的目录下可能存在页面或网站的备份文件
通过这些文件,可以获取到页面或网站的源码
💡 例如`index.php.bak`、`www.zip` 、`www.tar.gz` 等等
通过使用目录扫描工具进行目录扫描,从而发现备份文件
4、请求头
网站的请求头和响应头信息并不会显示到页面中
但其中仍然可能会隐藏一些关键的信息
例如在响应头中可能会携带有服务器Nginx版本
💡 使用`抓包工具`或`F12开发者工具`进行分析
5、Cookie
网站一般使用cookie来识别用户身份
或是用来记录用户操作
在cookie中可能会隐藏着某些信息
💡 通过`抓包工具`或`F12开发者工具`或`EditThisCookie`进行分析
2、302重定向
使用重定向将用户定向到一个新的页面中
而在302页面中包含了一些关键信息
💡 通过观察页面`URL地址`的变化 通过`F12开发者工具`,查看网络请求 通过`抓包工具`查看网络请求,来判断是否存在`302重定向` 同样也可以查看流量信息,分析其中的隐藏数据
6、版本控制
为便于代码版本控制
开发者可能会使用Git和SVN进行版本控制
弱由于开发者的疏忽,将生产环境和开发环境混淆
或是在迁移代码时未删除.git文件夹,将会直接导致网站源码泄露
💡 通过目录扫描工具扫描出网站存在`/.git/` 目录,则证明存在.git泄露
https://github.com/0xHJK/dumpall
https://github.com/lijiejie/GitHack
7、Vim临时文件
在vim异常关闭的时候会产生.swp文件
如果扩展名是 .swp 的文件已经存在,逐次递减最后的字母,直到找到没有现存文件的名字为止。
如果过了 .saa 还找不到,不建立交换文件。
常见:.swp .swo .swn ...
💡 使用:`vim -r filename` 进行恢复
8、PHP探针
在网站中可能会存在PHP探针
例如phpinfo 页面
在其中可以看到相关的php环境信息
💡 通过`目录扫描工具`发现页面
9、
题目
开发者注释-1
补充:工具
EditThisCookie
Burp Suite - Application Security Testing Software
Proxy SwitchyOmega
https://github.com/H4ckForJob/dirmap
GitHub - 0xHJK/dumpall: 一款信息泄漏利用工具,适用于.git/.svn/.DS_Store泄漏和目录列出
https://github.com/lijiejie/GitHack
https://github.com/maurosoria/dirsearch
补充:暴力破解字典
GitHub - gh0stkey/Web-Fuzzing-Box: Web Fuzzing Box - Web 模糊测试字典与一些Payloads,主要包含:弱口令暴力破解、目录以及文件枚举、Web漏洞...字典运用于实战案例:https://gh0st.cn/archives/2019-11-11/1
GitHub - TheKingOfDuck/fuzzDicts: Web Pentesting Fuzz 字典,一个就够了。
相关文章:
信息收集思路
1、开发者注释 在网站前端代码中遗留的开发者注释 其中可能包含某些关键信息 💡 使用F12 、CtrlU 、view-source: 查看前端源码 3、Robots文件 爬虫协议,网站根目录存在的robots.txt文件,用于告知搜索引擎或爬虫哪些路径和页面不…...
Tauri应用开发(二):创建第一个Tauri应用
创建tauri应用 推荐参考官方文档:https://tauri.app/v1/guides/ 创建命令: npm create tauri-applatest💡注意:请确保Node.js和Rust已经正确安装 在创建过程中,需要根据提示选择配置项。 主要配置有: 项目…...
自信裸辞:一晃 ,失业都3个月了.....
最近,找了很多软测行业的朋友聊天、吃饭 ,了解了一些很意外的现状 。 我一直觉得他们技术非常不错,也走的测开/管理的路径;二三月份裸辞的,然后一直在找工作,现在还没找到工作 。 经过我的分析࿰…...
Python3 输入和输出
在Python 3中,你可以使用内置的函数来进行输入和输出操作。 输入(Input): 要从用户那里获取输入,可以使用input()函数。input()函数会等待用户输入,并返回一个字符串。你可以将输入存储在一个变量中&#…...
Mybatis Plus 使用@TableLogic实现逻辑删除
文章目录 步骤1:修改数据库表添加deleted列步骤2:实体类添加属性步骤3:运行删除方法知识点1:TableLogic 接下来要讲解是删除中比较重要的一个操作,逻辑删除,先来分析下问题: 这是一个员工和其所签的合同表,关系是一个员工可以签多…...
2023/5/23总结
super关键字 super关键字的用法和this 关键字的用法相似 this:代表本类对象的引用(this关键字指向调用该方法的对象一般我们是在当前类中使用this关键字,所以我们常说this代表本类对象的引用)super:代表父类存储空间的标识(可以理解为父类对象…...
Squid代理服务器应用
在web架构中,用户一般进入负载均衡层,通过调度来访问web应用层,但是如果访问量太大,并发量较高,web应用层会吃不消,我们把静态资源、经常要访问的资源放入缓存,用户直接访问缓存层,加…...
网络编程中的sockfd是什么?
2023年5月22日,周一早上: 今天早上学习网络编程时遇到了sockfd这个变量,于是学习了一下,顺便写篇博客来记录自己的学习成功。 sockfd是什么意思? "sock"是socket的缩写。"fd"则是file descripto…...
如何利用Citespace和vosviewer既快又好地写出高质量的论文及快速锁定热点和重点文献进行可视化分析?
基于Citespace和vosviewer文献计量学可视化SCI论文高效写作方法 CiteSpace是什么? 简单来说,它一款通过将国内外文献进行可视化分析来帮助你了解一门学科前世今生的软件。 面对成千上万篇的文献,怎样才能快速锁定自己最感兴趣的主题及科学…...
(学习日记)AD学习 #1
写在前面: 由于时间的不足与学习的碎片化,写博客变得有些奢侈。 但是对于记录学习(忘了以后能快速复习)的渴望一天天变得强烈。 既然如此 不如以天为单位,以时间为顺序,仅仅将博客当做一个知识学习的目录&a…...
缓存存在的问题
文章目录 缓存问题缓存穿透引入解决方案 缓存雪崩缓存击穿 缓存问题 使用缓存时常见的问题主要分为三个:缓存穿透 、缓存雪崩、缓存击穿。 下面对其进行一一学习 缓存穿透 引入 定义:缓存穿透是指客户端请求的数据在缓存中和数据库中都不存在&#…...
ChatGPT 的 AskYourPDF 插件所需链接如何获取?
一、背景 目前 ChatGPT 主要有两款 PDF 对话插件,一个是 AskYourPDF 一个是 ChatWithPDF(需 ChatGPT Plus),他们都可以实现给一个公共的PDF 链接,然后进行持续对话,对读论文,阅读 PDF 格式的文…...
基于自营配送模式的车辆路径规划设计与实现_kaic
摘要 近年来,随着我国消费水平逐渐提升,消费者在网上购物的频率也越来越高,电商发展速度迅猛,加大了物流配送的压力,促使物流企业以更大的运力,更短的时间将货物送达。在货品的运输过程中,成本居…...
动态规划-树形DP
树的重心 题目 链接:https://www.acwing.com/problem/content/848/ 给定一颗树,树中包含 n n n 个结点(编号 1 ∼ n 1 \sim n 1∼n)和 n − 1 n-1 n−1 条无向边。 请你找到树的重心,并输出将重心删除后&#x…...
多线程基础(二)CAS无锁优化/自旋锁/乐观锁、ABA问题
CAS (Compare And Set)比较并替换 上篇文章的锁问题解决,可以使用更高效的方法,使用AtomXXX类,AtomXXX类本身方法都是原子性的,但不能保证多个方法连续调用是原于性的。 import java.util.ArrayList; imp…...
记ABAC的落地实践
为什么使用ABAC 一般提到授权,我们就会想到角色(role)。什么样的用户拥有什么样的角色可以怎么操作什么样的资源,这是我们普遍使用的权限系统的模型。这里的角色实质上是包含了一组用户操作资源的规则集合。一旦角色被创建&#…...
【C++】C++11线程库 和 C++IO流
春风若有怜花意,可否许我再少年。 文章目录 一、C11线程库1.thread类介绍2.mutex互斥锁 和 CAS原子操作(compare and set)3.lock_guard和unique_lock4.两个线程交替打印,一个打印奇数,一个打印偶数(线程同步…...
cpp11实现线程池(六)——线程池任务返回值类型Result实现
介绍 提交任务函数submitTask中返回的Result类型应该是用Result类包装当前的task,因为出函数之后task即如下形式:return Result(task); Result和Task都要互相持有对方的指针,Task要将任务执行结果通过Result::setVal(run()) 调用传给其对应…...
道岔外锁闭装置介绍
简述 道岔外锁闭装置是一种能可靠地锁闭尖轨和基本轨的器械。它能有效地克服尖轨在密贴时的转换阻力,即使连接杆折断,外锁闭装置仍在起着锁闭作用。外锁闭能够隔离列车通过时对转换设备的振动和冲击,提高转换设备寿命和可靠性。 产品分类 …...
idea把项目上传到码云
1. 为项目创建仓库 2. 选中中项目右击git, 先add, 在commit Directory 3. 设置远程码云项目地址 4. push项目, ok。 注意: 如果你在最后push出现以下提示,则说明提交失败 Push to origin/master was rejected(译文:推送到原点/master被拒绝…...
量子机器学习:首次光子实验实现明确量子优势,开启超低功耗AI新范式
1. 量子机器学习:从理论到实验的首次明确优势量子计算和人工智能,这两个听起来都充满未来感的领域,在过去几年里各自都取得了令人瞩目的进展。但一个核心问题始终悬而未决:量子力学那些“反直觉”的特性,比如叠加和纠缠…...
,已交付27家头部客户验证)
从原始日志到业务洞察只要1次SQL:DeepSeek日志分析方案支持自然语言查询(“查上周支付失败且含Redis超时的订单”),已交付27家头部客户验证
更多请点击: https://intelliparadigm.com 第一章:DeepSeek日志分析方案的核心价值与落地成效 DeepSeek日志分析方案并非通用日志管道的简单复刻,而是面向大模型训练与推理场景深度定制的可观测性基础设施。其核心价值体现在对高吞吐、多模态…...
DeepSeek模型权重完整性校验失效?揭秘SHA-3+SGX远程证明双因子加固新范式
更多请点击: https://codechina.net 第一章:DeepSeek模型安全加固 DeepSeek系列大语言模型在开源与商用场景中广泛应用,但其默认部署配置可能存在提示注入、越权推理、训练数据泄露及后门触发等安全风险。安全加固需从模型服务层、推理运行时…...
【DeepSeek R1-VL流式优化白皮书】:基于127个真实生产案例的RTT压缩公式与chunk_size黄金阈值表
更多请点击: https://intelliparadigm.com 第一章:DeepSeek R1-VL流式响应优化的工程意义与挑战全景 DeepSeek R1-VL作为多模态大模型,其视觉-语言联合推理能力依赖于高吞吐、低延迟的流式响应机制。在实时图文理解、交互式AI助手、边缘端多…...
【Gemini重大Bug修复公告】:20年Google AI架构师亲述3个致命漏洞及72小时紧急修复全过程
更多请点击: https://intelliparadigm.com 第一章:Gemini重大Bug修复公告 近日,Google 工程团队紧急发布 Gemini API v0.5.3 补丁版本,修复了一个影响多模态推理一致性的高危竞态条件(Race Condition)Bug。…...
Windows电脑安装安卓应用:告别模拟器的轻量级解决方案
Windows电脑安装安卓应用:告别模拟器的轻量级解决方案 【免费下载链接】APK-Installer An Android Application Installer for Windows 项目地址: https://gitcode.com/GitHub_Trending/ap/APK-Installer 你是否曾经渴望在Windows电脑上运行安卓应用…...
ubuntu个人开发者如何利用taotoken token plan降低ai实验成本
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 Ubuntu 个人开发者如何利用 Taotoken Token Plan 降低 AI 实验成本 对于在 Ubuntu 环境下进行 AI 实验与原型开发的个人开发者而言…...
Windows安卓应用安装器:APK Installer完整使用指南
Windows安卓应用安装器:APK Installer完整使用指南 【免费下载链接】APK-Installer An Android Application Installer for Windows 项目地址: https://gitcode.com/GitHub_Trending/ap/APK-Installer 在Windows电脑上直接运行安卓应用,享受大屏幕…...
终极XXMI启动器完整指南:一键管理所有米哈游游戏模组的免费神器
终极XXMI启动器完整指南:一键管理所有米哈游游戏模组的免费神器 【免费下载链接】XXMI-Launcher Modding platform for GI, HSR, WW and ZZZ 项目地址: https://gitcode.com/gh_mirrors/xx/XXMI-Launcher XXMI启动器是一款专为米哈游系列游戏设计的模组管理平…...
终极暗黑破坏神2存档编辑器d2s-editor:可视化修改的完整指南
终极暗黑破坏神2存档编辑器d2s-editor:可视化修改的完整指南 【免费下载链接】d2s-editor 项目地址: https://gitcode.com/gh_mirrors/d2/d2s-editor 还在为暗黑破坏神2单机存档损坏而烦恼吗?d2s-editor就是你的救星!这款免费开源的暗…...