笔记-搭建安全拓展

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
.cn 域名,1个 12个月
云解析 DNS,旗舰版 1个月
简介: 搭建安全拓展

涉及知识:

  • 常见搭建平台脚本启用
  • 域名 IP 目录解析安全问题
  • 常见文件后缀解析对应安全
  • 常见安全测试中的安全防护
  • WEB 后门与用户及文件权限

安全问题

ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境

WEB 源码中敏感文件 后台路径,数据库配置文件,备份文件等

IP 或域名解析 WEB 源码目录对应下的存在的安全问题 域名访问,IP 访问(结合类似备份文件目录)

脚本后缀对应解析(其他格式可相同-上传安全) 存在下载或为解析问题

常见防护中的 IP 验证,域名验证等

后门是否给予执行权限 后门是否给予操作目录或文件权限 后门是否给予其他用户权限

总结下关于可能会存在的安全或防护问题?

实战演示

搭建IIS

web服务拓展中可以启用asp asps php等服务

属性-ip-端口,就可以通过ip访问该网站

主机头值:表示域名值

修改本地host,可以达到在本地访问域名来完成访问本地搭建的网站

有些网站在搭建时,域名解析可以解析到具体的文件夹下面,ip地址直接访问根目录。在实战中,扫描IP地址会扫描更多的信息(www.zip 备份文件)

文件后缀解析

isapi拓展

可以自己设置后缀文件解析格式,上传后门

cdx、cer和asp的解析格式一样,asp木马上传不上去,可以试试cdx、cer

常见防护

目录安全性:身份验证、ip限制、安全通信

身份验证、匿名访问

若不开启匿名访问,需要输入账号密码进入

ip和域名限制

限制ip访问 可以设置黑名单或者白名单

web后门

网站权限为iis来宾用户(匿名访问用户) 把网站路径文件夹的iis来宾用户权限拒绝后,菜刀木马链接不到该网站

写入失败时,要考虑是不是写入权限被限制

读取和运行

执行权限:无、脚本、脚本和可执行文件

绕过思路:将后门放到其他目录里面,脚本根目录或者其他可执行脚本的目录

中间件的识别

通过抓取返回数据包,返回头部,即可判断出中间件服务

中间件的安全漏洞

百度

中间件常见漏洞pdf

工具

中间件靶场

vulhub

vulhub和vulnhub vulhub是单个漏洞库

vulhub.org

目录
相关文章
|
C++
BaGet服务之基础搭建(上)
BaGet服务之基础搭建
326 0
|
3月前
|
开发者 图形学 API
从零起步,深度揭秘:运用Unity引擎及网络编程技术,一步步搭建属于你的实时多人在线对战游戏平台——详尽指南与实战代码解析,带你轻松掌握网络化游戏开发的核心要领与最佳实践路径
【8月更文挑战第31天】构建实时多人对战平台是技术与创意的结合。本文使用成熟的Unity游戏开发引擎,从零开始指导读者搭建简单的实时对战平台。内容涵盖网络架构设计、Unity网络API应用及客户端与服务器通信。首先,创建新项目并选择适合多人游戏的模板,使用推荐的网络传输层。接着,定义基本玩法,如2D多人射击游戏,创建角色预制件并添加Rigidbody2D组件。然后,引入网络身份组件以同步对象状态。通过示例代码展示玩家控制逻辑,包括移动和发射子弹功能。最后,设置服务器端逻辑,处理客户端连接和断开。本文帮助读者掌握构建Unity多人对战平台的核心知识,为进一步开发打下基础。
107 0
|
3月前
|
开发者 图形学 iOS开发
掌握Unity的跨平台部署与发布秘籍,让你的游戏作品在多个平台上大放异彩——从基础设置到高级优化,深入解析一站式游戏开发解决方案的每一个细节,带你领略高效发布流程的魅力所在
【8月更文挑战第31天】跨平台游戏开发是当今游戏产业的热点,尤其在移动设备普及的背景下更为重要。作为领先的游戏开发引擎,Unity以其卓越的跨平台支持能力脱颖而出,能够将游戏轻松部署至iOS、Android、PC、Mac、Web及游戏主机等多个平台。本文通过杂文形式探讨Unity在各平台的部署与发布策略,并提供具体实例,涵盖项目设置、性能优化、打包流程及发布前准备等关键环节,助力开发者充分利用Unity的强大功能,实现多平台游戏开发。
91 0
|
5月前
|
搜索推荐 物联网 数据库
技术笔记:X+(xPlus)部署指南
技术笔记:X+(xPlus)部署指南
34 1
|
4月前
技术好文:UEFoliage工具拓展
技术好文:UEFoliage工具拓展
32 0
|
5月前
|
C++ 开发者
技术经验分享:dumpbin的使用方法_dumpbin的基础使用
技术经验分享:dumpbin的使用方法_dumpbin的基础使用
245 0
|
新能源
会后分享 | 精选十二:整车性能开发解决方案
本文由上海安世亚太公司汽车行业技术经理章敏先生在新能源汽车研讨会上所发表的演讲,此内容详细地讲解了整车性能开发解决方案。
会后分享 | 精选十二:整车性能开发解决方案
|
存储 数据库 C++
BaGet服务之基础搭建(下)
BaGet服务之基础搭建(下)
474 0
|
消息中间件 Java 应用服务中间件
大型电商网站:第三章:环境搭建
大型电商网站:第三章:环境搭建
140 0
大型电商网站:第三章:环境搭建
从零开始,搭建一个简单的购物平台(十一)
从零开始,搭建一个简单的购物平台(十一)
224 0
从零开始,搭建一个简单的购物平台(十一)