网络安全 day2 --- 宝塔搭建网站、phpstudy、IIS搭建网站的区别、docker、建站分配站、前后端分离

宝塔建站

以下步骤目前在VPS上操作

直接网上搜索宝塔官网进行下载window面板,然后安装宝塔面板

https://download.bt.cn/win/panel/BtSoft.zip

也可以直接用我这个下载链接

等待安装成功,安装成功后直接进入宝塔面板

登陆宝塔面板之后我们需要注册一个账号。然后进入宝塔面板安装我们所需要的程序。

直接安装推荐安装的,然后进入软件商店--》一键部署---〉选择zblog---》按照提示一步一步进行部署 ---〉传入木马文件 ---》蚁剑 /冰蝎 进行连接执行命令 ---〉宝塔不能执行命令

phpstudy建站

php study也是差不多的部署流程,部署完毕之后发现phpstudy搭建的网站传入木马文件之后可以进行连接并且执行命令,发现可以执行一部分命令,说明phpostyudy没有做太多防护限制

IIS建站

IIS搭建在上一篇我们已经说到了,我们也进行传入木马文件进行连接访问,发现我们的webshell工具可以进行连接并且可以执行命令但是大多数命令不能执行。

总体来说使用宝塔的安全性最高,一开始宝塔也是没有这种安全措施的,但是随着市场份额的增加导致宝塔默认加入了一定的防护措施,其实phpstudy也可以加入防护措施但是默认是不开启的。于此,我们说phpstudy不常用于生产环境。

docker也是我们所经常用的拉取镜像的虚拟化技术,这里我们不过多详解,详细关注微信公众号tools0,在里面我有写docker技术的运用了。

由于目前来看国内大部分的docker源已经用不了了。建议使用dk提供的dockerhub或https://docker.m.daocloud.io这个源可能是我用过最好用的了,大家可以看看。

具体docker的使用还是建议使用命令行linux界面会稍微简洁一点。当然图形化界面也可以。

我在以前写的文章中有说到,docker搭建的网站和目录都是隔离的,一个一个镜像都是一个空间,所以哪怕拿到了docker的权限也不能影响到服务器本身,当然现在网上有很多docker逃逸的教程。这一点不过多阐述,使用docker的好处明显就是安全性可用性高。

建站分配站的概念:

1、托管

2、申请

原理:

(1)利用别人的模版搭建网站

影响:

(1)实质安全测试非目标资产

意思是测试的一般不是他的网站,只是一个模版站,没什么实质的信息。

前后端分离

前端和后端分离,就和我们的站库分离差不多

如果不分离,那么相对而言效率会高一点,因为不需要通过api接口进行数据传输

如果前后端分离,那么相对而言安全性会高一点

原理:前端JS框架,API传输数据

影响:

(1)前端页面大部分不存在漏洞

(2)后段管理大部分不在同域名

(3)获得权限有可能不影响后端

静态网站

静态网站是一种不依赖于动态服务器处理的网页类型。它是指所有的网页内容在服务器上已经生成,用户访问时,服务器直接将这些内容发送给用户浏览器,浏览器无需额外的处理即可呈现网页内容。

意思就是我们修改页面内容需要修改代码,而不是通过点击修改数据库。

一般静态网站的特点就是单页,很多站库合并的网站都会被我们当做伪静态,这个其实不是绝对的,是一个概念的区别。但是纯静态网站还是很好判断的

原理:数据没有传输性(js传输不算)

影响:(无漏洞)

总结一下:

宝塔面板搭建网站:安全性比较高

IIS自己搭建网站:部分安全服务默认需要自己开启

phpstudy搭建网站:部分安全服务默认需要自己开启,默认不开

docker:虚拟化技术导致容器隔离,让安全性更高

建站分配站:利用别人的模版的搭建的网站,并且意思就是说测试的一般不是别人的网站,就只是模版站,没什么有价值的测试信息

前后端分离:前端JS框架,API传输数据

静态网站:数据没有传输性(js代码除外)

相关推荐
lingggggaaaa3 小时前
小迪安全v2023学习笔记(五十讲)—— 持续更新中
笔记·学习·安全·web安全·网络安全
Y_031 天前
网络安全基础知识【6】
安全·web安全
一只鹿鹿鹿1 天前
【制造】erp和mes系统建设方案(word)
大数据·人工智能·web安全·信息化·软件系统
轻抚酸~1 天前
小迪23年-22~27——php简单回顾(2)
web安全·php
雪兽软件2 天前
2025网络安全指南
安全·web安全
轻抚酸~2 天前
小迪23-28~31-js简单回顾
javascript·web安全
一只鹿鹿鹿2 天前
【网络安全】信息网络安全建设方案(WORD)
人工智能·安全·spring·web安全·低代码
卓码软件测评2 天前
软件测评中网站类测评测试使用的BurpSuite-Web安全测试流程
测试工具·安全·web安全
爱学习的大牛1232 天前
网络安全专业知识体系:成为专家需要做的
安全·web安全
吃不得辣条2 天前
网络安全之防火墙
网络·web安全·apache