[Pentest] 利用 archive.org 網頁歷史資料庫,找出舊版的網頁與漏洞線索

[Pentest] 利用 archive.org 網頁歷史資料庫,找出舊版的網頁與漏洞線索

繼續練習 網站滲透測試實務入門 這本書裡提到的東西…

今天練習的是用 web.archive.org 這個線上的網站歷史資料庫,來查詢網站可能有的漏洞~

 

拿雅虎網站來舉個例子吧~

先到 web.archive.org 網站,打入 tw.yahoo.com 後,

就會列出雅虎網站所有的歷史記錄,

可以看到從 1999 年開始就有記錄,接著隨著時間推進,

雅虎網站被 web.archive.org 收錄的次數也越來越多,

猜測 web.archive.org 應該是根據網站的熱門程度,來決定要多常備份網站資料:

Screen Shot 2016-09-13 at 10.55.02 PM

 

點到 1999 年的區段,下面會列出所有的日期,

點下有收錄 (黃色標示) 的日期後,就會顯示收錄當時的網頁。

嗯… 1999 年的雅虎的網頁,現在看起來好陽春啊:

Screen Shot 2016-09-13 at 10.56.31 PM  

 

當然 web.archive.org 不是只是拿來懷舊用的 😛

我們可以利用這個網站資料庫,來查詢要被滲透測試的網站的「舊版」資料。

通常比較舊版的網頁,可能裡面對於安全性考量較不足,

因此會有比較多的漏洞,也有可能暗藏一些滲透測試用的線索

(比如說,也許以前的人會將管理者密碼直接寫在 JavaScript 裡面)~

好好利用這個網站的話,相信對滲透測試會有一些幫助 (不過當然只能對公開的網站有效了)~

 

(本頁面已被瀏覽過 5,134 次)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料