Web セキュリティ情報収集のための CMS フィンガープリント識別

情報 2023-07-01 11:27:56 訪問数: null

1. CMS指紋認証

CMS (コンテンツ管理システム)。ステーション全体システムまたは記事システム Web サイトのコンテンツ管理とも呼ばれます。ユーザーは、対応する CMS 
ソフトウェア パッケージを、CMS を直接使用できるため、シンプルで便利です。ただし、すべての種類の CMS には独自の構造命名規則と特定の 
ファイル コンテンツがあるため、これらのコンテンツを使用して特定のソフトウェア CMS と CMS サイトのバージョンを取得できます。 
一般的な CM: dedecms (dream weaving)、Discuz、Phpcms など。 

CMS 識別ツール:

   1. オンライン Web サイトの識別: yunsee.cn-2.0

                               TideFinger 潮汐指紋 TideFinger 潮汐指紋

                               WhatWeb - 次世代の Web スキャナー。

    2. ローカルツール:

    Yujian Web 指紋認証プログラム: (Windows でのダウンロード、インストール、および使用)     Yujian Web 指紋認証システムのダウンロード_Yujian Web 指紋認証システムの公式ダウンロード-Pacific Download Center (pconline.com.cn)

                       

Dayu CMS 識別プログラム: GitHub - Ms0x0/Dayu: オープンソースの指紋識別ツール。(kali でダウンロード、インストールして使用します)

CMS の脆弱性のクエリ

クエリされた cms については、次を使用できます。

http://www.anquan.us/

https://bugs.shuimugan.com

機密性の高いディレクトリ情報の検出

ターゲットの Web ディレクトリ構造と機密性の高い隠しファイルを検出することは非常に重要です。検出プロセス中に、バックグラウンド ページ、アップロード ページ、データベース ファイル、さらには Web サイトのソース コード ファイル圧縮パッケージが検出される可能性が非常に高くなります。 

検出ツール: 1. Yujian バックグラウンド スキャン ツール (添付の Yujian ダウンロード リンク: リンク: https://pan.xunlei.com/s/VMlOoYWlg25SrmcUJbVvKAmVA1
抽出コード: cr3e
このコンテンツをコピーして携帯電話の Thunder アプリを開くと、より便利です。意見)

2. wwwscan コマンドラインツール   

3. dirb コマンド ライン ツール - kali を開き、dirb と入力して Enter を押し、dirb baidu.com Enter を押して検出を開始します 

4. Dirbuster スキャン ツール - kali を開き、「dirbuster」と入力して Enter を押してツールを開きます

 

ワードプレスのテスト

 WordPress は PHP 言語で開発されたブログ プラットフォームであり、ユーザーは PHP および MySQL データベースをサポートするサーバー上に独自の Web サイトをセットアップできます。WordPress をコンテンツ管理システム (CMS) として使用することもできます。 

wordpress テストの場合、対応するセキュリティ テストに wpscan ツールを使用できます。

 kali ターミナルを開き、「wpscan --url xxxx.xxxxxxxx.com (wpscan --url ウェブサイト)」と入力します。

2.WAF

Web アプリケーション攻撃に対する保護製品

Awesome-WAF プロジェクト:
https://github.com/0xInfection/Awesome-WAF

検出スクリプト wafw00f:
https://github.com/EnableSecurity/wafw00f

kali下安装wafw00f
	git clone https://github.com/EnableSecurity/wafw00f
	cd wafw00f
	python setup.py install

3.CDN

CDN: コンテンツ配信ネットワーク

基本的な考え方は、データ伝送の速度と安定性に影響を与える可能性のあるインターネット上のボトルネックやリンクを可能な限り回避し、コンテンツの伝送をより速く、より安定させることです。

ネットワークの読み込み時間を短縮し、サーバーの負荷を軽減し、コストを削減し、ネットワークのセキュリティを向上させます。

CDN 検出
国内オンライン CDN クラウド観測 http://cdn.chinaz.com
海外オンライン CDNplanet  https://www.cdnplanet.com
スクリプト検出: xcdn  https://github.com/3xp10it/xcdn install xcdn git clone  https
under kali https://github.com/3xp10it/xcdn

4. 実際の IP を見つける一般的な方法:

スーパー ping:複数の場所にあるサーバーに ping を実行、ウェブサイトの速度テスト - ウェブマスター ツール

歴史分析:

Weibu Online: Weibu Online X インテリジェンス コミュニティ - 脅威インテリジェンス クエリ_脅威分析プラットフォーム_オープン コミュニティ

過去の Whois: https://www.benmi.com/whoishistory/

過去のホスティング: https://toolbar.netcraft.com/site_report?url=

内部メールボックスのソース: 相手が電子メールを送信します。電子メールのソース IP を確認します。

第 2 レベルのドメイン名: サブドメイン名を検索し、バインドされていない CDN サイトを見つけます。

モバイル アプリ: Brup を使用してアプリ データ パケットを取得および収集する

WeChat パブリック アカウント: Brup を使用して WeChat パブリック アカウント データ パッケージを取得します

外部 ping:

ping.ge: http://www.ping.pe
海外スピードテスト:海外インターネットスピードテスト - ウェブマスターツール
サイバースペース検索エンジン: fofa: https://fofa.so

おすすめ

転載: blog.csdn.net/Forget_liu/article/details/131264777
おすすめ
大規模な言語モデルに基づくオープンソースのナレッジベースの質問と回答システムである MaxKB GitHub Star の数が 5,000 を超えました。
ランキング
短线选股的一种方法
Javaクライアントでのユーバーのリズムワークフローで睡眠時間をキャンセルし、再スケジュール
CALIPSOデータバッチダウンロード方式
LeetCode アルゴリズム再帰クラス - ソードはオファー 26 を参照します。 ツリーの部分構造
HTMLのインポート外部CSS、JavaScriptの論文
PostgreSQL 13.1、12.5、11.10、10.15、9.6.20、および9.5.24がリリースされました
アップルは、エラーメッセージがポテトに接続されていた実行する方法ポテトポテトショーをダウンロードすることができません
あなたは空腹で突然電話を切っていますか?これはテクノロジーの裏側ですか、それともテスト用の銃ですか?
VIMエディタのヒント
動的計画法の最長共通部分列(LCS)
アーカイブ
もっと
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)

コードワールド

© 2018 codetd.com