指紋識別技術簡介及思路
web滲透過程中,對目標網站的指紋識別比較關鍵,通過工具或手工來識別CMS系統的自建、二次開發,還是直接使用開源的CMS程序至關重要,通過獲取的這些信息來決定后續滲透的測試思路和策略。
指紋檢測詳細解釋:https://www.anquanke.com/post/id/178230
指紋識別技術
組件是網絡空間最小的單元,WEB應用程序、數據庫、中間件等都屬於組件。指紋是組件上能標識對象類型的一段特征信息,用來在滲透測試信息收集環節中快速識別目標服務。
指紋識別思路
指紋識別可以通過一些開源程序和小工具進行掃描,也可以結合文件頭和反饋信息進行手工判斷,指紋識別的主要思路如下:
- 使用工具自動判斷
- 手工對網站的關鍵字、版權信息、后台登錄、程序版本和rebots.txt等常見固有文件進行識別、查找、對比,相同文件具有相同的MD5值或相同的屬性。
指紋識別工具
國外工具
Wappalyzer簡介
Wappalyzer功能是識別單個URL的指紋,其原理就是給指定URL發送HTTP請求,獲取響應頭與響應體並按指紋規則進行批評;
Firefox火狐瀏覽器附加組件中安裝;
使用方法在需要識別指紋的網站上點擊Wappalyzer即可顯示識別信息:
WhatRuns簡介
Chrome瀏覽器開發的一款CMS指紋識別程序,通過谷歌瀏覽器插件安裝。
國內指紋識別工具
Test404輕量WEB指紋識別
Test404輕量WEB指紋識別程序:是一款CMS指紋識別小工具,配置靈活,支持自行添加字典,使用方便、識別速度快
Test404v2.1版本下載地址:鏈接:https://pan.baidu.com/s/1gXAJv-7sKpxcMRoktLFnDQ 提取碼:zld8
使用首先需要將被識別網址保存到文件中,然后打開Test404導入網址文件,點擊開始識別即可
在線指紋識別工具
通過域名或IP地址進行查詢
- 雲悉指紋識別網址 :http://www.yunsee.cn/finger.html
- bugscaner指紋識別網址:http://whatweb.bugscaner.com/look/