一、前言本篇文章仅为学习笔记记录,不得用于违规用途。本篇文章为安全社公众号的Poker安全所发,本文仅为学习复现。二、介绍指纹混淆技术,顾名思义,就是迷惑指纹扫描识别技术。三、思路作者的思路:1、伪装CMS作者第一个想到的就是wordpress。2、初次尝试添加wordpress文件夹,wordpress后台,都不会显示有wordpress的指纹,作者得到结果:查询CMS的工具应该不是通过目录抓取特征的。3、首次成功作者在前端添加上wordpress的CSS和JS,就成功了。4、改良之后作者还加入了蜜罐,也考虑到了避免引入JS和CSS造成排版混乱。5、研究wappalyzer规则库作者研究了wappalyzer的规则库,得出一个结论:指纹识别一般是匹配CMS的JS和CSS文件路径或者头部的meta标签信息,使用头部信息检测的CMS指纹,后面数值可随意修改。6、实测+全副武装作者测试了他部署的蜜罐,测试成功,并且他的网站现在可以检测出100多种网站技术。四、实操1、思考看完作者的文章,我认为现在要做的就是:(1)把这些CMS以及框架用到的JS和CSS引入到前后端的标签内。(2)最好是把官
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号