[Pentest] 利用 archive.org 網頁歷史資料庫,找出舊版的網頁與漏洞線索
繼續練習 網站滲透測試實務入門 這本書裡提到的東西…
今天練習的是用 web.archive.org 這個線上的網站歷史資料庫,來查詢網站可能有的漏洞~
拿雅虎網站來舉個例子吧~
先到 web.archive.org 網站,打入 tw.yahoo.com 後,
就會列出雅虎網站所有的歷史記錄,
可以看到從 1999 年開始就有記錄,接著隨著時間推進,
雅虎網站被 web.archive.org 收錄的次數也越來越多,
猜測 web.archive.org 應該是根據網站的熱門程度,來決定要多常備份網站資料:
點到 1999 年的區段,下面會列出所有的日期,
點下有收錄 (黃色標示) 的日期後,就會顯示收錄當時的網頁。
嗯… 1999 年的雅虎的網頁,現在看起來好陽春啊:
當然 web.archive.org 不是只是拿來懷舊用的 😛
我們可以利用這個網站資料庫,來查詢要被滲透測試的網站的「舊版」資料。
通常比較舊版的網頁,可能裡面對於安全性考量較不足,
因此會有比較多的漏洞,也有可能暗藏一些滲透測試用的線索
(比如說,也許以前的人會將管理者密碼直接寫在 JavaScript 裡面)~
好好利用這個網站的話,相信對滲透測試會有一些幫助 (不過當然只能對公開的網站有效了)~
(本頁面已被瀏覽過 5,134 次)