常规化
原理:源码数据都在同一个服务器
影响:无,常规安全测试手法
站库分离:
原理:源码和数据库分别在不同数据库上
存储:其他服务器上数据库&云数据库产品
影响:数据被单独存放,能连接才可影响数据
前后端分离
原理:前端JS框架,API接口传输数据
例如
https://www.rxthink.cn/ 前端站点 http://manage.thinkphp6.elevue.rxthink.cn/content/item 后台管理演示站点
影响:
- 前端页面大部分不存在漏洞
- 后端管理大部分不在同域名
- 获得权限有可能不影响后端
宝塔+Phpstudy
原理:打包类集成化环境,权限配置或受控制
影响:攻击者权限对比区别
Docker容器
原理:虚拟化技术独立磁盘空间,非真实物理环境
影响:攻击者虚拟空间磁盘
建站分配站
1.托管
2.申请
原理:利用别人域名模版建立
影响:实质安全测试非目标资产
#静态Web
例子:大学学的html设计的网站
原理:数据没有传输性(js传输不算)
影响:无漏洞
伪静态
动态转为静态技术,伪装的静态
演示工具箱:欢迎使用ONE-FOX安全团队发布的贺岁工具箱内测版,祝您使用愉快~百度网盘链接: https://pan.baidu.com/s/1HsHU-JuEfIs--7ZuYLYFmw?pwd=ofox
前后端演示:
Docker安装:
Docker镜像资源:
建站平台演示:
