三.搭建安全

三. 搭建安全拓展

涉及知识:

常见搭建平台脚本启用

域名IP目录解析安全问题

常见文件后缀解析 对应安全

常见安全测试中的安全防护

WEB后门与用户及文件权限

访问网站 :ip/域名。

域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分;

IP扫描可以直接扫描出来服务器的根目录,得到的信息更多;

域名IP目录解析安全问题

演示:IIS为一种中间件--->网站的中间件 ---为网站提供服务。

ping test001.com --->会访问到外网的。

修改本地的hosts文件 -----ip test001.com ---就能正常访问了。

用域名访--网站域名的文件夹。

用ip访问--网站域名的上一级。

*常见文件后缀解析对应安全

中间件解析。

网站访问格式时有的正常,有的不行。。 --网站中间件解析协议设置的。

网站解析不如意 ---中间件默认或添加了一些东西。

常见安全测试中的安全防护

自我防护手段:

相关限制

用户限制;

ip地址和域名限制; --黑名单和白名单。

证书;

WEB后门与用户及文件权限

3.1 网站搭建环境

  • ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境

WEB 源码中敏感文件

  • 后台路径,数据库配置文件,备份文件等

3.2 基于中间件的简要识别

看返回(响应)头--->能看到其中间件(搭建平台)---->其有对应的漏洞

------------------中间件理解:访问人家服务器时,有服务员先为你服务。------------------------------

3.3 后门注意事项

  • 后门是否给予执行权限

  • 后门是否给予操作目录或文件权限

  • 后门是否给予其他用户权限

利用工具:菜刀。

在服务端进行注入。--然后连接。

创建脚本-->填入脚本语言-设置密码-->保存 ------>菜刀连接就OK。

演示案例:

基于中间件的简要识别

可利用漏洞扫描工具/人工

基于中间件的安全漏洞

中间件都有其对应的漏洞,(重要的是网站有没有这个漏洞)

基于中间件的靶场使用

利用乌班图(ubuntu)--linux系统--搭建环境,然后进行访问等操作。

windows用其它的。

涉及资源

Vulhub - Docker-Compose file for vulnerability environment 中间件常见漏洞总结,Vulhub靶场

相关推荐
Fortinet_CHINA28 分钟前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
Johny_Zhao2 小时前
Docker 一键安装部署 JumpServer 堡垒机
linux·网络安全·信息安全·云计算·shell·jumpserver·ldap·yum源·系统运维
网安小白的进阶之路2 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk2 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
unable code4 小时前
攻防世界-Rerverse-game
网络安全·ctf·reverse
一只栖枝9 小时前
网络安全 vs 信息安全的本质解析:数据盾牌与网络防线的辩证关系关系
网络·网络安全·信息安全·it·信息安全认证
安全系统学习9 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
怦然星动_12 小时前
DHCP中继及动态分配
网络安全
深圳安锐科技有限公司13 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
潘锦14 小时前
海量「免费」的 OPENAI KEY,你敢用吗?
安全·openai