Web安全信息收集之CMS指纹识别

news2025/1/10 19:14:31

1、CMS指纹识别

CMS(内容管理系统),又称整站系统或文章系统网站内容管理。用户只需要下载对应的CMS软 
件包,部署搭建,就可以直接利用CMS,简单方便。但是各种CMS都具有其独特的结构命名规则和定 
的文件内容,因此可以利用这些内容来获取CMS站点的具体软件CMS与版本 
常见CMs: dedecms(织梦)、 Discuz、 Phpcms等 

CMS识别工具:

   1.在线网站识别:yunsee.cn-2.0

                               TideFinger 潮汐指纹 TideFinger 潮汐指纹

                               WhatWeb - Next generation web scanner.

    2.本地工具:

    御剑web指纹识别程序:(在windows中下载安装使用)    御剑web指纹识别系统下载_御剑web指纹识别系统官方下载-太平洋下载中心 (pconline.com.cn)

                       

大禹CMS识别程序:GitHub - Ms0x0/Dayu: 一款开源指纹识别工具。(在kali中下载安装使用)

针对CMS漏洞查询

对于查询到的cms可以利用

http://www.anquan.us/

https://bugs.shuimugan.com

敏感目录信息探测

针对目标Web目录结构和敏感隐藏文件探测是非常重要的。在探测过程中很有可能会探测出后台页面 、上传页面、数据库文件、甚至是网站源代码文件压缩包等。 

探测工具:1.御剑后台扫描工具 (附御剑下载链接:链接:https://pan.xunlei.com/s/VMlOoYWlg25SrmcUJbVvKAmVA1
提取码:cr3e
复制这段内容后打开手机迅雷App,查看更方便)

2.wwwscan命令行工具   

3.dirb命令行工具 ——打开kali,输入dirb然后回车,dirb baidu.com回车即可开始探测 

4.dirbuster扫描工具——打开kali,输入dirbuster回车即可打开工具

 

wordpress测试

 WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和 MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。 

针对wordpress测试,可以使用wpscan工具进行对应安全测试。

 打开kali终端,输入wpscan  --url xxxx.xxxxxxxx.com(wpscan --url 网站)

2. WAF

专针对Web应用攻击的防护产品

Awesome-WAF项目 :
https://github.com/0xInfection/Awesome-WAF

检测脚本wafw00f :
https://github.com/EnableSecurity/wafw00f

kali下安装wafw00f
	git clone https://github.com/EnableSecurity/wafw00f
	cd wafw00f
	python setup.py install

3. CDN

CDN: 内容分发网络

基本思路是 尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快,更稳定

改善网络加载时间,减少服务器负载,降低成本,提高网络安全行

CDN检测
国内在线 CDN云观测 http://cdn.chinaz.com
国外在线 CDNplanet https://www.cdnplanet.com
脚本探测:xcdn https://github.com/3xp10it/xcdn
kali下安装xcdn
git clone https://github.com/3xp10it/xcdn

4.常见的寻找真实IP的方法:

超级ping:多个地点Ping服务器,网站测速 - 站长工具

历史解析:

微步在线:微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

历史Whois:https://www.benmi.com/whoishistory/

历史托管:https://toolbar.netcraft.com/site_report?url=

内部邮箱源:对方发送邮件,查看邮件来源IP

二级域名:寻找子域名,找到未绑定CDN站点。

手机App:使用Brup抓取收集App数据包

微信公众号:使用Brup抓取微信公众号数据包

国外ping:

ping.ge:http://www.ping.pe
海外测速:海外网速测试 - 站长工具
网络空间搜索引擎:fofa:https://fofa.so

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/657364.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软件管理Linux

1. 获取程序包的途径 系统发行版的光盘或官方的服务器 http://mirrors.aliyun.comhttp://mirrors.sohu.comhttp://mirrors.163.com 项目官方站点第三方组织 Fedora-EPEL(推荐)搜索引擎: http://pkgs.org http://rpmfind.net http://rpm.pbon…

数据库第十章(数据库恢复技术)十一章(并发控制)

目录 1.事务 2.并发控制 1.事务 事务的特点:ACID 原子性 atom 一致性 consistent 隔离性 isolation 持久性 durable 故障的种类 1.事务内部故障 措施:采取redo重做和undo撤销技术 2.系统故障DBMS 措施:重启 3.介质故障 硬件损坏 4.计…

msvcr110.dll丢失的解决方法-dll一键下载修复

我们在运行软件程序或者游戏的时候,如果程序提示“无法启动此程序,因为计算机中丢失msvcr110.dll。尝试重新安装该程序以解决此问题”,如果说明您电脑系统中缺少或者未注册msvcr110.dll这个运行库文件,那么我们要如何解决这个问题…

大学生简历信息填写模板

大学生简历信息填写模板篇1 姓名:__性别:_年龄:22健康状况:良好 籍贯:__家庭背景:职工家庭 所学专业:市场营销学历:本科(在读) 参业意向:可从事文秘工作、贸易、产品营销…

pytorch神经网络及训练(一)

pytorch神经网络及训练(一) 随机梯度下降算法 随机梯度下降算法(SGD)是对梯度下降算法的一种改进。 直观上SG的方法可能效率上更优。考虑这样一个情况,我们的训练数据集合 是由小的数据 集合复制10份得到的。此时&…

Java代码规范的重要性

目录 1 为什么需要代码规范1.1 不规范的案例1.1.1 就因为忘记加个分号,整个程序都崩溃了1.1.2 我为什么没写注释?1.1.3 谁动了我的代码?1.1.4 半小时写的代码,花两个小时调试 1.2 代码编写1.3 在项目架构1.4 数据库设计1.5 编写文…

openpnp - 软件版本的更新记录(机器翻译)

文章目录 openpnp - 软件版本的更新记录(机器翻译)概述openpnp更新历史记录机翻了一个版本, 大概齐参考一下.END openpnp - 软件版本的更新记录(机器翻译) 概述 卡在底部相机矫正上, 底部相机的硬件安装已经很精确了, 基本能排除是硬件问题. 现在问题定位, 大概率是openpnp软…

g++ -v 若显示g++不是内部或外部命令`

MinGW - Minimalist GNU for Windows Files下载地址 下载地址点这里https://sourceforge.net/projects/mingw/files/ . exe文件下载后建议安装在D盘下tools文件夹下(个人习惯) 此次安装在默认路径下,直接傻瓜式安装 安装: 1.…

2023年网络安全竞赛——网络安全应急响应Server2228

网络安全应急响应 任务环境说明: 服务器场景:Server2228(开放链接) 用户名:root,密码:pssw0rd123 1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交&#xff1b…

CTFshow-pwn入门-前置基础pwn13-pwn19

pwn13 题目说编译运行这个flag.c文件即可获得flag。那我们先把flag.c文件下载下来,然后托到虚拟机里使用gcc编译一下,运行看看是否能够拿到flag。 gcc -o flag -flag.c ./flagok,果然拿到了flag。flag为:ctfshow{hOw_t0_us3_GCC?…

前端小练-平台首页介绍+动画

文章目录 前言结构头部外部容器文字 主体小球动画打字机动画特效实现监控 完整代码总结 前言 时间飞逝,快大四了,刚好最近看不下去考研的,而且要准备这个毕设选题了,然后就想着怎么能够把自己所学的东西都用上,一开始…

Vue H5项目如何在PC端时布局居中展示,而不全屏拉伸

目录 1、场景再现:在PC端时 H5项目布局被拉伸2、代码实现3、最终效果图4、疑惑 1、场景再现:在PC端时 H5项目布局被拉伸 2、代码实现 在App.vue中的写入,vue2 的在mounted中写入,vue3的写在onMounted写入。 逻辑讲解&#xff1a…

Android 全局黑白化-模拟颜色空间

概述 平台: RK3568 Android 11在一些特殊的日子,如默哀日、灾难日,纪念日,哀悼日等,许多的APP、网页、海报等都开始使用黑白色主题。Android 的全局黑白实现方案,可以考虑使用模拟颜色空间的方法。 借助硬…

RabbitMQ高阶使用消息推送

目录 1 从打车开始说起1.1 需要解决的问题1.2 消息推送 2 消息推送2.1 什么是消息推送2.2 方案介绍2.2.1 ajax短轮询2.2.2 长轮询2.2.3 WebSocket 2.3 WS实现消息推送2.3.1 架构介绍2.3.2 暂存数据2.3.2.1 什么是MongoDB2.3.2.2 插入数据2.3.2.3 查询数据 2.4.1 轮询任务2.4.1.…

学生党暑假在家赚钱得方法,足不出户轻松赚取买鞋钱

很多学生党都想在暑假期间赚点零花钱,最好是能在家就赚钱。在家里赚零花钱有许多途径,今天我来和大家分享一些方法。 1、问答在各大平台上非常普遍。 我们可以在各大平台上找到各种各样的问答。 如今,问答平台越来越多,提供的奖…

平凯星辰重磅支持 2023 开放原子全球开源峰会,开源数据库分论坛成功召开

2023 年 6 月 11 日至 13 日,以“开源赋能,普惠未来”为主题的 2023 开放原子全球开源峰会开幕式暨高峰论坛在北京成功举办。企业级开源分布式数据库厂商平凯星辰联合创始人兼 CTO 黄东旭受邀出席峰会参与开源论道圆桌,担任开源数据库分论坛出…

吴恩达ChatGPT课爆火

点上方计算机视觉联盟获取更多干货 没想到时至今日,ChatGPT竟还会犯低级错误? 吴恩达大神最新开课就指出来了: ChatGPT不会反转单词! 比如让它反转下lollipop这个词,输出是pilollol,完全混乱。 哦豁&#…

C++14中返回类型推导的使用

使用C14中的auto返回类型,编译器将尝试自动推导(deduce)返回类型: namespace {int xx 1; auto f() { return xx; } // return type is int const auto& f3() { return xx; } // return type is const int&auto multiply(int a, int b) { return (a * b); …

【阅读论文】时间序列数据清洗:一项调查

文章目录 摘要一、引言A.问题陈述B.问题挑战C. 组织 二、基于平滑的清洗算法A.移动平均B.自动注册C.卡尔曼滤波模型D.总结和讨论 三、基于约束的混合算法A. 顺序依赖 (OD)B.序列相关性C.速度约束D.总结和讨论 四、基于统计的CLEANING算法A.最大似然B.马尔可夫模型C.二项抽样D.时…

基于51单片机设计的井下瓦斯监控系统

一、项目介绍 井下瓦斯监控系统是煤矿安全生产中非常重要的一部分,防止井下瓦斯爆炸事故的发生,保障煤矿工人的人身安全。由于地下环境特殊,需要特殊的监测系统来实时监测瓦斯浓度等关键指标,并及时报警以便采取措施进行处理。 瓦斯气体,又称沼气,是一种轻质烃类气体,…