三.搭建安全

三. 搭建安全拓展

涉及知识:

常见搭建平台脚本启用

域名IP目录解析安全问题

常见文件后缀解析 对应安全

常见安全测试中的安全防护

WEB后门与用户及文件权限

访问网站 :ip/域名。

域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分;

IP扫描可以直接扫描出来服务器的根目录,得到的信息更多;

域名IP目录解析安全问题

演示:IIS为一种中间件--->网站的中间件 ---为网站提供服务。

ping test001.com --->会访问到外网的。

修改本地的hosts文件 -----ip test001.com ---就能正常访问了。

用域名访--网站域名的文件夹。

用ip访问--网站域名的上一级。

*常见文件后缀解析对应安全

中间件解析。

网站访问格式时有的正常,有的不行。。 --网站中间件解析协议设置的。

网站解析不如意 ---中间件默认或添加了一些东西。

常见安全测试中的安全防护

自我防护手段:

相关限制

用户限制;

ip地址和域名限制; --黑名单和白名单。

证书;

WEB后门与用户及文件权限

3.1 网站搭建环境

  • ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境

WEB 源码中敏感文件

  • 后台路径,数据库配置文件,备份文件等

3.2 基于中间件的简要识别

看返回(响应)头--->能看到其中间件(搭建平台)---->其有对应的漏洞

------------------中间件理解:访问人家服务器时,有服务员先为你服务。------------------------------

3.3 后门注意事项

  • 后门是否给予执行权限

  • 后门是否给予操作目录或文件权限

  • 后门是否给予其他用户权限

利用工具:菜刀。

在服务端进行注入。--然后连接。

创建脚本-->填入脚本语言-设置密码-->保存 ------>菜刀连接就OK。

演示案例:

基于中间件的简要识别

可利用漏洞扫描工具/人工

基于中间件的安全漏洞

中间件都有其对应的漏洞,(重要的是网站有没有这个漏洞)

基于中间件的靶场使用

利用乌班图(ubuntu)--linux系统--搭建环境,然后进行访问等操作。

windows用其它的。

涉及资源

Vulhub - Docker-Compose file for vulnerability environment 中间件常见漏洞总结,Vulhub靶场

相关推荐
网安-轩逸15 分钟前
网络安全核心目标CIA
安全·web安全
鸭梨山大。2 小时前
Jenkins 任意文件读取(CVE-2024-23897)修复及复现
安全·中间件·jenkins
黑客老陈2 小时前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss
无泡汽水5 小时前
漏洞检测工具:Swagger UI敏感信息泄露
python·web安全
代码改变世界ctw9 小时前
如何学习Trustzone
安全·trustzone·atf·optee·tee·armv8·armv9
WTT001111 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
群联云防护小杜14 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai14 小时前
HTTP协议及安全防范
网络协议·安全·http
蜜獾云15 小时前
linux firewalld 命令详解
linux·运维·服务器·网络·windows·网络安全·firewalld
黑客Jack15 小时前
防御 XSS 的七条原则
安全·web安全·xss