一、域名IP目录解析安全问题
直接用ip访问---为网站的上一级目录
此处可以在网站文件新建1.txt,内容为111,然后通过浏览器:ip地址/1.txt访问验证
直接用域名访问为网站首页
用ip地址扫描为网站的上一级文件夹、用域名为网站
而很多套模板的网站在上一级有源码备份。可以通过ip地址获取源码来进行漏洞挖掘
二、后缀解析安全
1、中国菜刀后门
1)更改应用程序映射
复制*.asp的文件物理路径
新建*.xiaodi8的应用程序,物理路径为*.asp的文件物理路径
2)在网站源码新建文件
新建x.diaodi8的文件,内容为菜刀的asp文件的漏洞,密码为x
3)用菜刀连接
本机访问utl/x.xiaodi8
复制URL放入菜刀中连接---可以查看服务器的文件
2、安全防护
- 用户组的安全权限(读写等)
- Ip地址和域名的访问限制
- ssl的连接的证书的设置
