提要:信息收集中,目标网站使用的数据库类型,开发语言类型是很重要的,Sql注入和RCE等攻击手段中都需要提前了解数据库类型和使用的脚本语言。
常见的数据库类型
1,ACCESS(文件型数据库管理系统,不存在端口号)—小型数据库,免费 2,MYSQL(3306)—中小型数据库,开源,免费 3,SQLSERVER(MSSQL)(1521)—中型数据库,收费 4,ORACLE(1433)—大型数据库,收费
数据库类型判断方法:
操作方法一: NMAP或漏洞扫描工具扫描开发端口: NMAP扫描: -V参数:显示详细信息 -P参数:指定扫描端口号 NESSUS扫描:
操作方法二:根据常规搭配来判断 常见搭配: ASP+ACCESS/SQLSERVER PHP+MYSQL/POSTGRESQL JSP+ORACLE/MYSQL
开发语言判断方法:
操作方法一: 通过URL中文件名判断: 操作方法二: 通过HTTP响应报文中的X-POWER-BY字段判断,当然也可以通过HTTP协议中的server字段来判断web容器类型
操作方法三: 通过浏览器插件WAPPALYZER判断, 可参考:
下一篇: Web安全基础一漏洞产生原理&漏洞探测
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/weixin_44431280/article/details/121753770