77.WEB渗透测试-信息收集-框架组件识别利用（1）

免责声明：内容仅供学习参考，请合法利用知识，禁止进行违法犯罪活动！

内容参考于： 易锦网校会员专享课

上一个内容：76.WEB渗透测试-信息收集- WAF、框架组件识别（16）

java：

  fastjson/jackson（提供java对象和json数据之间转换）

    识别：

基于报错回显：

  理想的情况下，站点有报错的回显。在请求包这里我们用的是json的请求格式，json请求格式一般是以大括号开头，大括号结尾这样的格式，我们可以通过不闭合他的右大括号的情况下，那么他就会有一个相应的报错（左边箭头处不闭合，右边是报错信息）

  jackson也是一样，同样不闭合大括号，右面是报错信息

    黑盒识别：

      我们在提交json格式这种数据的时候，如果说他是fastjson的组件的话，他会把我们的传参01转换成1

  jackson如果我们传参是01，那么他会抛出异常，并不会把01转换成1，抛出异常告诉我们他是一个jackson的组件

  java由于它的面向对象，和它跨平台的特性，它的网站还有框架非常的多

---

---