web源码方向

WEB 源码拓展

WEB 源码在安全测试中是非常重要的信息来源，可以用来代码审计漏洞也可以用来做信息突破口，其中 WEB 源码有很多技术需要简明分析。

• 关于 WEB 源码目录结构
• 关于 WEB 源码脚本类型
• 关于 WEB 源码应用分类
• 关于 WEB 源码其他说明

信息敏感点

• 敏感目录结构：数据库配置文件，后台目录，模版目录，数据库目录等
• web脚本类型：ASP,PHP,ASPX,JSP,JAVAWEB 等脚本类型源码
• 应用分类：社交，论坛，门户，第三方，博客等不同的代码机制对应漏洞
• 开源，未开源问题，框架非框架问题，关于 CMS 识别问题及后续等
• 关于源码获取的相关途径：搜索，咸鱼淘宝，第三方源码站

关注应用分类及脚本类型估摸出可能存在的漏洞（其中框架类例外），在获取源码后可进行本地安全测试或代码审计，也可以分析其目录工作原理（数据库备份，bak 文件等），未获取到的源码采用各种方法想办法获取。

style.css：这个文件可以用来生成md5值来查寻cms框架。可以通过网页刷新时加载的文件来搜索cms。

总结：

源码一般一些网页使用相同的网站平台，即可以利用这一点，百度下载此平台的源码观看源码结构，查找数据库文件，然后以此类推你要攻击的网站，输入你之前分享该平台数据库存放的位置下载，即可从后台登入他的网站了

甚至识别平台，知道是什么平台的话以及什么版本，就直接百度搜该版本的相关漏洞，按照百度介绍的一步步照做攻击即可