小迪安全D4笔记：基础入门-web源码拓展

一、web源码目录结构

后台目录

模板目录

数据库目录

数据库配置文件

二、web源码脚本类型

ASP

PHP

ASPX

JSP

JAVAWEB

Python

不同脚本语言数据库存储不一样，解释型与编译型不同，安全漏洞也不同

三、web源码应用分类

门户 综合类漏洞

电商 业务逻辑突出

论坛 xss逻辑突出

博客 漏洞较少

第三方 据功能决定

其他

源码功能决定漏洞类型

源码获取：备份获取，CMS识别后获取，特定源码特定渠道，搜索、咸鱼淘宝、第三方源码站

四、其他

框架或非框架 框架漏洞或无框架进行下一步

CMS识别 人工，工具，平台识别

开源或内部 开源：直接找漏洞或审计 内部：常规渗透测试

总结

关注应用分类及脚本类型估摸出可能存在的漏洞（框架类除外），在获取源码后可进行本地安全测试或代码审计，也可以分析其目录工作原理（数据库备份，bak文件等），未获取到的源码采用各种办法获取。