You are currently viewing Web網站安全測試(Penetration Testing)- 從初學到精通–訊息收集—法洛威
滲透測試---netcraft

Web網站安全測試(Penetration Testing)- 從初學到精通–訊息收集—法洛威

Netcraft是用來蒐集目標網站使用技術的工具,用來瞭解目標網站使用技術是否有相關漏洞。使用方式如下:

發現網站使用的技術—-Netcraft

一、到Netcraft網站,在Resources選單下的「Tools」的「Site Report」。

二、搜尋欄中,輸入目標網站網址。本例是在搜尋欄中,輸入「isecur1ty.org」。

三、在Network項目中,可以找到Namesever資訊。本案例網站「isecur1ty.org」的Namesever為「ns1.digitalocean.com」。滲透測試的實際案例中,可以考慮透過取得Namesever廠商控制權,在去取得目標網站的控制權,但難度較高。

四、在Hosting History項目中,可以瞭解伺服器的歷史。在本案中,伺服器目前運行在linux系統,Web Sever 版本為「Apache/2.2.15 CentOs」。此外,「isecur1ty.org」Web Sever亦曾安裝過其它「Apache/2.2.31 Unix mod_ssl/2.2.31 OpenSSL/1.0.1e-fips mod_bwlimited/1.4 mod_fcgid/2.3.9」等軟件。類似訊息對於掌握漏洞非常重要。

五、在Site Technology項目中,可以瞭解目標網站使用的技術。其中Sever-side的Technology就記載「PHP Enabled」,可以瞭解網站是PHP撰寫的。

收集全面的DNS訊息—-「Robtex.com」

Robtex.com網站後,在搜尋欄輸入目標網址。之後會得到各種資訊,其中最重要就是「Shared」項目。Sharing IP numbers指的與目標網站相同IP的網站,透過掌握相同IP網站,可以找掌握目標網站。

weiwei

歡迎來到「法洛威」,這是一個追求成長與分享財務、法律及資訊的平台,讓我們一起共同成長。