笔记-搭建安全拓展

本文涉及的产品
.cn 域名,1个 12个月
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介: 搭建安全拓展

涉及知识:

  • 常见搭建平台脚本启用
  • 域名 IP 目录解析安全问题
  • 常见文件后缀解析对应安全
  • 常见安全测试中的安全防护
  • WEB 后门与用户及文件权限

安全问题

ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境

WEB 源码中敏感文件 后台路径,数据库配置文件,备份文件等

IP 或域名解析 WEB 源码目录对应下的存在的安全问题 域名访问,IP 访问(结合类似备份文件目录)

脚本后缀对应解析(其他格式可相同-上传安全) 存在下载或为解析问题

常见防护中的 IP 验证,域名验证等

后门是否给予执行权限 后门是否给予操作目录或文件权限 后门是否给予其他用户权限

总结下关于可能会存在的安全或防护问题?

实战演示

搭建IIS

web服务拓展中可以启用asp asps php等服务

属性-ip-端口,就可以通过ip访问该网站

主机头值:表示域名值

修改本地host,可以达到在本地访问域名来完成访问本地搭建的网站

有些网站在搭建时,域名解析可以解析到具体的文件夹下面,ip地址直接访问根目录。在实战中,扫描IP地址会扫描更多的信息(www.zip 备份文件)

文件后缀解析

isapi拓展

可以自己设置后缀文件解析格式,上传后门

cdx、cer和asp的解析格式一样,asp木马上传不上去,可以试试cdx、cer

常见防护

目录安全性:身份验证、ip限制、安全通信

身份验证、匿名访问

若不开启匿名访问,需要输入账号密码进入

ip和域名限制

限制ip访问 可以设置黑名单或者白名单

web后门

网站权限为iis来宾用户(匿名访问用户) 把网站路径文件夹的iis来宾用户权限拒绝后,菜刀木马链接不到该网站

写入失败时,要考虑是不是写入权限被限制

读取和运行

执行权限:无、脚本、脚本和可执行文件

绕过思路:将后门放到其他目录里面,脚本根目录或者其他可执行脚本的目录

中间件的识别

通过抓取返回数据包,返回头部,即可判断出中间件服务

中间件的安全漏洞

百度

中间件常见漏洞pdf

工具

中间件靶场

vulhub

vulhub和vulnhub vulhub是单个漏洞库

vulhub.org

目录
相关文章
|
C++
BaGet服务之基础搭建(上)
BaGet服务之基础搭建
336 0
|
机器学习/深度学习 存储 人工智能
Gradio入门到进阶全网最详细教程[一]:快速搭建AI算法可视化部署演示(侧重项目搭建和案例分享)
Gradio入门到进阶全网最详细教程[一]:快速搭建AI算法可视化部署演示(侧重项目搭建和案例分享)
|
3月前
|
开发者 图形学 API
从零起步,深度揭秘:运用Unity引擎及网络编程技术,一步步搭建属于你的实时多人在线对战游戏平台——详尽指南与实战代码解析,带你轻松掌握网络化游戏开发的核心要领与最佳实践路径
【8月更文挑战第31天】构建实时多人对战平台是技术与创意的结合。本文使用成熟的Unity游戏开发引擎,从零开始指导读者搭建简单的实时对战平台。内容涵盖网络架构设计、Unity网络API应用及客户端与服务器通信。首先,创建新项目并选择适合多人游戏的模板,使用推荐的网络传输层。接着,定义基本玩法,如2D多人射击游戏,创建角色预制件并添加Rigidbody2D组件。然后,引入网络身份组件以同步对象状态。通过示例代码展示玩家控制逻辑,包括移动和发射子弹功能。最后,设置服务器端逻辑,处理客户端连接和断开。本文帮助读者掌握构建Unity多人对战平台的核心知识,为进一步开发打下基础。
134 0
|
5月前
|
搜索推荐 物联网 数据库
技术笔记:X+(xPlus)部署指南
技术笔记:X+(xPlus)部署指南
37 1
|
4月前
技术好文:UEFoliage工具拓展
技术好文:UEFoliage工具拓展
36 0
|
5月前
|
C++ 开发者
技术经验分享:dumpbin的使用方法_dumpbin的基础使用
技术经验分享:dumpbin的使用方法_dumpbin的基础使用
312 0
|
6月前
|
JSON 移动开发 数据可视化
Dooring无代码搭建平台技术演进之路
Dooring无代码搭建平台技术演进之路
138 0
|
存储 数据库 C++
BaGet服务之基础搭建(下)
BaGet服务之基础搭建(下)
479 0
|
前端开发
|
消息中间件 Java 应用服务中间件
大型电商网站:第三章:环境搭建
大型电商网站:第三章:环境搭建
140 0
大型电商网站:第三章:环境搭建
下一篇
无影云桌面