从信息收集到网络架构防护信息收集
了解CMS指纹识别
CMS:快速搭建网站的内容管理系统
web应用框架:快速二次开发的web应用框架,例如网站、小程序
一、指纹识别知多少
指纹的特性
- 唯一性
- 终身不变性
- 方便性
指纹识别-方式
在线和离线的方式收集指纹信息
- 云悉在线:http://www.yunsee.cn
- Whatweb:http://www.whatweb.net
- 插件wappalyzer:https://www.wappalyzer.com
- 脚本CMSeek:https://github.com/Tuhinshubhra/CMSeek
- Webfinger:https://github.com/se55i0n/Webfinger
二、WAF
Waf(web应用防火墙)的全拼为:Web Application Firewall,顾名思义Waf是一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的攻击目标,此时Waf就成为了安全防护中的第一道防线,Waf在安全中的重要性不言而喻。
常见的WAF产品以及检测方法
一、Awesome-WAF项目
https://gitnub.com/0xinfection/Awesome-WAF
二、检测脚本:wafw00f
https://github.com/EnableSecurity/wafw00f
三、CDN
CDN介绍
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。
改善网站加载时间、减少服务器负载,降低成本、提高网站安全性
使用在线或离线的方法检测CDN
- 国内在线:CDN云观测:http://cdn.chinaz.com/
- 国外在线:cdnplanet:https://www.cdnplanet.com/
- 脚本探测:xcdn:https://github.com/3xp10it/xcdn
常见的寻找真实IP的方法
都是通过寻找对方未绑定CDN站点进行突破,从而找到真实站点