1.Web 应用指纹识别总结(超详细)
2.华为fido安全密钥有什么用
3.Web和UDDI Service区别在哪？
4.[网络安全学习篇63]：SSRF_

Web 应用指纹识别总结(超详细)

       基本识别方法

       Web 指纹识别的纹识核心在于四个特征的选取。这些特征包括字段、别源headers、纹识首页关键字正则匹配，别源以及静态文件md5。纹识其中静态文件md5是别源国外源码识别版本号的关键，通常CSS、纹识JS、别源logo和ico等文件的纹识md5值相对稳定，可用于准确识别应用版本。别源

       在获取md5值时，纹识应使用str类未编码的别源谷歌aosp源码结果，避免使用编码后的纹识文本，确保准确性。别源

       国外指纹识别工具

       国外主要有Wappalyzer和WhatWeb。纹识Wappalyzer通过JSON格式整理和分类指纹，支持API调用，适合跨平台使用，但规则基于正则模式，对特殊url文件结构或静态文件识别有限。WhatWeb提供多种匹配规则，如文本模式、正则匹配、fluttergit源码缓存头部搜索和静态文件md5识别。通过编写Matches规则，开发者可以定制识别策略。

       工具参考

       Wappalyzer提供API接口，便于集成到不同开发环境中。WhatWeb则通过插件系统允许开发者扩展功能。

       国内指纹识别工具

       国内的WebEyewscan是分布式WEB指纹识别系统，适用于CMS识别、JS框架、组件容器、代码语言和WAF等。腾讯源码码Zoomeye则提供了一定的分类支持。Fate0的webanalyzer整合了多种指纹识别工具的特征。

       检测未知系统

       对于无法识别具体CMS的网站，可以通过统计分析网站的特征信息，比如字段、headers、关键字和静态文件md5等，来尝试匹配已知CMS的特征。这种方法依赖于特征与CMS之间的强相关性。

       总结

       当前指纹识别技术并未有显著突破，主要依赖于年左右的ub源码下载研究成果。国外的Wappalyzer和WhatWeb是成熟工具，提供了较为完善的识别能力，但对国内应用的识别存在局限。国内的工具在特定场景下表现良好，如WebEyewscan和Fate0的webanalyzer，但整体成熟度与国外工具相比还有提升空间。

       优化策略

       通过整合外部资源，如从nikto的favicon.ico指纹库中提取md5值，并添加到本地库中，可以进一步丰富识别能力。同时，利用国内的指纹识别工具作为补充，以提高对国内应用的识别准确性。通过参数调整和优化发包策略，如使用等级控制参数，可以平衡识别速度与资源消耗，实现更高效的识别过程。

       最终，指纹识别技术的核心在于特征选取与规则优化。通过持续的规则维护与策略调整，可以提高识别效率与准确性，更好地适应不同场景的需求。

华为fido安全密钥有什么用

       FIDO即线上快速身份验证联盟。成立于年，目标是创建一套开放、可扩展的标准协议，支持对Web应用的非密码安全认证。该协议为在线与数码验证方面的首个开放行业标准，可提高安全性、保护私隐及简化用户体验。华为fido安全密钥是一种在线验证用户身份的技术规范。

       FIDO主要通过两个标准协议来实现安全登录（验证）：无密码体验FIDO UAF：指纹生物识别；双因子体验FIDO U2F标：密码U盾等设备 ；

       无密码的UAF(Universal Authentication Framework）：用户携带含有UAF的客户设备(通常手机或pc，内置采集设备)；用户出示一个本地的生物识别特征(指纹、人脸、声纹等)；网站可以选择是否保存密码。

       双因子的U2F（Universal Second Factor）：用户携带U2F设备，浏览器支持这个设备；用户出示U2F设备，浏览器读取设备证书；网站可以使用简单的密码（比如4个数字的PIN）。

Web和UDDI Service区别在哪？

       äº’联网络的发展给电子商务带来了商机，但是由于大家各自为营的局面，电子商务的解决方案层出不穷，混乱的局面在一定程度上阻碍了电子商务的进一步发展。本文认为目前国际上以UDDI为核心的Web Service是如今电子商务的最好解决方式。如何使发布和发现服务更快速准确是UDDI的重要任务。 什么是UDDI 统一描述、发现和集成(Universal Description, Discovery, and Integration，UDDI)相当于Web Service的一个公共注册表，通俗点说它就是电子商务应用与服务的“网络黄页”；它旨在以一种结构化的方式来保存有关各公司及其服务的信息。通过 UDDI，人们可以发布和发现有关某个公司及其Web服务的信息，然后就可以根据这些发布在UDDI的信息，通过统一的调用方法来享受这些服务了（如图1所示）。而在以前，服务消费者需要和服务提供者通过电话、邮件、会议等手段来商议和沟通服务的提供和调用方式，如今通过UDDI这些问题都轻松解决，而且迅速方便。

       UDDI的实现有以下几种技术： ● XML(eXtend Markable Language, 扩展标记语言)，用严格的嵌套标记表示数据信息，特别适合在Internet环境中的多点数据交换环境下使用。 ● SOAP（Simple Object Access Protocol，简单对象访问协议）， 用来定义数据描述和远程访问的标准。是一个轻型的分布式计算协议，它允许在一个分散、分布式的环境中交换信息。SOAP是一个基于XML的协议。每一个通过网络的远程调用都可以通过SOAP封装起来。SOAP使用HTTP传送XML消息，尽管HTTP不是最有效率的通信协议，而且在传送XML消息时还需要额外的文件解析，但是XML和HTTP都是开放标准规范，HTTP是一个在Web上被最广泛应用又能避免许多关于防火墙问题的传送协议，从而使SOAP得到了广泛的接受和应用。 ● WSDL（Web Services Description Language，Web服务描述语言）， 是发布和请求Web服务的描述语言；是基于XML的语言。它将Web服务描述为一组对消息进行操作的网络端点。每个WSDL服务描述包含对一组操作和消息的一个抽象定义，以及绑定到这些操作和消息的一个具体协议，还有这个绑定的网络端点的规范。 UDDI如何工作 首先，我们先来了解UDDI的数据是由哪些元素构成的。UDDI注册表中的数据由“白页”、“黄页”、“绿页”构成。其中“白页”包含关于商业名称、地址、电话号码等信息；“黄页”包含基于某些商业类型的商业体的列表（或者说是UDDI按照商业类型或者其所在行业的类型提供的入口）；“绿页”用于显示每个商业体提供的服务，包括与之有关的或使用这种服务的所有诸如参数、终点值等技术信息。而具体的数据是由下面的UDDI数据结构来表示的。 UDDI有四种主要数据结构： ● 商业实体信息(businessEntity结构)：UDDI 商业注册的商业信息发布和发现的核心XML 元素都包含在该结构中，它是商业实体专属信息集中最高层的数据容器，位于整个信息结构的最上层。该结构支持“黄页”信息。 ● 服务信息(businessService结构)：该结构将一系列有关商业流程或分类目录的Web 服务的描述组合到一起。businessService和下面要提到的bindingTemplate一起构成了“绿页”信息。 ● 绑定信息(bindingTemplate结构)：该结构包括应用程序连接远程Web 服务并与之通讯所必需的信息，以及通过附加的特性可以实现一些复杂的路由选择。 ● 技术规范信息(tModel结构)：该元素包含了一个列表，列表的每个子元素分别是一个调用规范的引用。这些引用作为一个标识符的杂凑集合，组成了类似指纹的技术标识，用来查找、识别实现了给定行为或编程接口的Web 服务。 UDDI的这些数据都是利用基于XML技术的WSDL来描述的，这些数据都是服务提供者在向UDDI注册之前编写服务程序时，由工具自动产生的，并不需要手工编写。有了提供Web服务的程序和描述这些程序的WSDL文件，就可以向UDDI发布了，使服务调用者通过UDDI来发现该服务，再通过UDDI中WSDL文件关于Web服务的描述，来调用并享受该Web服务。 其实UDDI本身就是一个Web服务，它的调用接口包含查询API和发布API。这些API实际上是用WSDL来进行描述的，用户只需根据这些描述，向UDDI发送API描述中相应的参数和命令，就可以享受这些服务（如查询、插入、删除等）。查询API用来快速地定位候选的商业实体、Web服务及其调用规范和相关信息的细节。发布API分为保存API和删除API。一旦得到授权，一个独立的机构可以注册任意数量的businessEntity或tModel信息，也可以修改原先发布的信息。UDDI注册中心是对所有提供公共UDDI注册服务站点的统称。在逻辑上，UDDI 数据存放在运营商(即承诺运营一个公共节点的公司)节点上。 以下是如何通过UDDI来发现服务并调用服务的过程，通过这些过程描述，我们能更清楚地了解UDDI的工作原理。 1. 编写调用远程Web服务的程序时，程序员使用UDDI商业注册中心(通过使用Web界面或其他基于查询API 的工具)来定位businessEntity 信息，这些信息是由(或为)提供该Web服务的企业注册的。 2. 程序员可以进一步获得更详细的businessService信息，或是得到一个完整的businessEntity结构。因为businessEntity结构包含了有关已发布的Web服务的所有信息，因此程序员只需简单地选择一个bindingTemplate并保存留待以后使用。 3. 基于Web服务在bindingTemplate的tModel中提供的调用规范的相关信息，程序员可以按照该Web服务的调用规范编写程序。 4. 在运行时，程序可以按需要使用已保存下来的 bindingTemplate的信息来调用Web服务。 UDDI的最新动态 目前，UDDI国际组织出版的UDDI规范的最新版本是UDDI V3规范，而当前各大UDDI运营商实现服务的UDDI还是按照V2规范来执行的。V2和V3规范的最大区别在于V3规范改变了V2规范的平行的体系结构，实现了层次型的结构，为全球的UDDI运营商的统一管理和服务提供了坚实的基础。 在UDDI规范2中，所有的UDDI Registry都是同级的关系，它们之间形成一个环状，而它们之间的数据是要通过一个安全通道进行复制的，最终是要使所有UDDI Registry的数据完全相同，而达到在服务享受者在发现服务的时候，无论通过任一个UDDI Registry查询到的数据都是相同的。 如图2所示，目前几大UDDI注册商之间的数据是每小时复制一次，也就是说，当你在某个UDDI注册Web服务的小时后，全世界所有的服务享受者就能通过任何一个UDDI Registry查询到该服务。然而这样的UDDI架构使得数据有巨大的冗余，在注册数据量小的时候，还可以接受，但如果每天有大量的数据注册的时候，就需要消耗巨大的资源。

       V3规范融入了多注册中心拓扑结构（multi-registry topology）、增强的安全特征、改进了的WSDL支持，以及订阅(Subscription)API和核心信息模型的先进性，使得在多Web服务集结构的情况下，UDDI可以提供给客户或使用者更复杂、更完善的描述和发现功能。如图3所示。

       V3规范把原来UDDI的平行结构，设计成为一种层次型的结构，这便于全球分布式UDDI的管理。在顶层设立了ROOT，它的作用是给其他的Affiliate Registry分配全球惟一的Key，同时也赋予它们生成Key的权力，使全球的每个数据都有惟一的Key，这样便于统一管理。另外，V3规范也在节点的复制上做了重大的改进。但V3规范也还有一些未完善的地方，如Affiliate Registry之间的数据复制和共享等问题；这些问题有待进一步的研究和改进。 UDDI是一种新的应用技术，也是一种新的Web服务，它的出现给电子商务的发展带来了新的契机，也推动了互联网络的发展。有专家预测，在未来的5年之内，随着UDDI技术的不断完善和推广，UDDI将成为电子商务的代名词。就让我们拭目以待，并亲身体验UDDI的快速发现和发布服务，感受它们所带来巨大经济效益的乐趣。 （计算机世界报 第期 E）

[网络安全学习篇]：SSRF_

       SSRF概述及危害

       SSRF（服务器端请求伪造）是一种攻击者发起的伪造由服务器端发出请求的攻击，它是常见的Web安全漏洞之一。其基本概念是攻击者通过用户提供的URL来获取服务器或本地资源，以此达到攻击的目的。

       SSRF的危害主要表现在以下几方面：

       端口扫描

       内网Web应用指纹识别

       攻击内网Web应用

       读取本地文件

       在代码实现方面，SSRF通常可以通过PHP语言和curl扩展来实现从服务器（外部或内部）获取资源的功能。例如，通过以下代码实现获取资源的基本功能：

       php

       <?php

       if(isset($_REQUEST['url'])) {

        $link = $_REQUEST['url'];

        $filename = './curled/'.time().'.txt';

        $curlobj = curl_init($link);

        $fp = fopen($filename,"w");

        curl_setopt($curlobj, CURLOPT_FILE, $fp);

        curl_setopt($curlobj, CURLOPT_HEADER, 0);

        curl_setopt($curlobj, CURLOPT_FOLLOWLOCATION, TRUE);

        curl_exec($curlobj);

        curl_close($curlobj);

        fclose($fp);

        $fp = fopen($filename,"r");

        $result = fread($fp, filesize($filename));

        fclose($fp);

        echo $result;

       } else {

        echo "?url=[url]";

       }

>

       通过提交参数[?url= baidu.com]，页面就会载入百度首页的资源。同时，获取的资源文件会保存在[./curled]中，并以发起请求的时间戳命名。

       SSRF的利用方式包括：

       访问正常文件

       端口扫描

       读取系统本地文件

       内网Web应用指纹识别

       攻击内网应用

       防御SSRF漏洞的方法有：

       限制协议

       限制IP

       限制端口

       过滤返回信息

       统一错误信息

       在实际应用中，利用SSRF漏洞进行攻击的场景包括：

       从内网应用获取资源

       攻击内网应用或本地机器，获得shell

       SSRF漏洞的挖掘和防御策略在Web安全领域是需要重点关注的内容。在代码开发和部署过程中，应遵循安全编码规范，限制请求的范围和来源，避免SSRF漏洞的产生。