【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库

【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog
【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库
此内容为免费资源,请登录后查看
0
一经购买概不退款
代码提供技术支持
免费资源
已售 359

介绍

什么是Web指纹?

当你访问一个网站时,你想了解它到底使用了什么程序制作的,这时,需要用到web指纹

应用程序含有的特征代码就是该程序的指纹。如同生物的指纹就是生物的特征一样。

Web指纹的识别究竟基于什么?

我们这里先讲一下通常情况下,手工探索是怎样去探索一个网站使用了哪些程序。

我们这里打开客户的网站,我们可以通过右键查看网页源代码

图片[1]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

ctrl+F搜索generator可以找到,使用了Discuz! X3.4

图片[2]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

这只是其中的一种情况,我们还可以通过分析网页中的其他元素,例如title标签,标题后缀常常带有Powered by XXX

图片[3]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

当然,我们还可以通过文件目录的结构,来观察网站使用了什么程序,F12打开开发者工具,点击Sources

我们可以看到目录结构中有wp-contentwp-includes,基本上用wordpress博客的人都很了解这个目录结构。

因此,通过目录结构我们也可以得出网站使用了哪些程序,甚至我们还可以关注themesplugins这两个关键词,可以找到网站使用了哪些主题模版、哪些插件。

图片[4]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

除了上述的这些,我们还可以通过md5、headers、url、正则匹配,因此,在采集了很多样本之后,就有了web指纹的特征库。

这些特征库其实就是将默认的一些静态资源的路径进行了md5比对或者headers里有哪些关键词,从而识别CMS程序名称。

图片[5]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog
图片[6]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

但是工具识别通常会进行目录扫描,如果碰到有waf的网站可能会检测不到,因此,做在线检测web指纹的网站通常会使用IP代理池,防止扫描过快导致无法访问站点。这里405返回码就代表可能被waf拦截了,导致禁止访问了。

图片[7]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

在线测试web指纹

温馨提示:如果站点使用了waf,可能会检测不到。

入口链接点击按钮即可访问。

whatweb

输入域名即可查询到使用的CMS

图片[8]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

bugscanner

现在bugscanner需要登录微信才能使用了,登录之后扫描即可

图片[9]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

云悉指纹

同样需要登录才能查询web相关信息,其他的域名信息IP地址可以直接查看

图片[10]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

潮汐指纹

需要登录才能使用,但是个人认为还蛮强大,连我昨天在子目录部署的typecho都探测到了,还是蛮强大的。

图片[11]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

wappalyzer

这个我们通常都会安装它的浏览器扩展,访问页面扩展里就会显示全面的web指纹,非常详细。

chrome扩展插件:https://chrome.google.com/webstore/detail/wappalyzer/gppongmhjkpfnbhagpmjfkannfbllamg?hl=en

Firefox扩展插件:https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/

图片[12]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

一些其他开源工具

可以下载使用的工具,需要大家自行研究探索。

潮汐指纹

潮汐指纹同款的开源项目:https://github.com/TideSec/TideFinger

支持fofa、引入了wappalyze等

图片[13]-【web指纹】常见的开源web指纹识别工具 附2021年10月最新的CMS Web指纹特征库-FancyPig's blog

Glass(镜) V2.0

项目地址:https://github.com/s7ckTeam/Glass

支持多个站点批量扫描,fofa扫描等

Bscan

项目地址:https://github.com/broken5/bscan

基于golang开发,速度快到爆炸。支持以下常见功能:

  • 对子域名的IP进行整理,标记IP段权重
  • 扫描IP、IP段的常见端口
  • 根据扫描端口过滤出一些脆弱的服务,如:Redis、MongoDB等
  • 扫描子域名、IP、IP段的WEB服务
  • 目录扫描,POC扫描
  • 根据标题,指纹筛选渗透

© 版权声明
THE END
喜欢就支持一下吧
点赞34赞赏
分享
评论 共11条

请登录后发表评论