网络安全 day2 --- 宝塔搭建网站、phpstudy、IIS搭建网站的区别、docker、建站分配站、前后端分离

宝塔建站

以下步骤目前在VPS上操作

直接网上搜索宝塔官网进行下载window面板,然后安装宝塔面板

https://download.bt.cn/win/panel/BtSoft.zip

也可以直接用我这个下载链接

等待安装成功,安装成功后直接进入宝塔面板

登陆宝塔面板之后我们需要注册一个账号。然后进入宝塔面板安装我们所需要的程序。

直接安装推荐安装的,然后进入软件商店--》一键部署---〉选择zblog---》按照提示一步一步进行部署 ---〉传入木马文件 ---》蚁剑 /冰蝎 进行连接执行命令 ---〉宝塔不能执行命令

phpstudy建站

php study也是差不多的部署流程,部署完毕之后发现phpstudy搭建的网站传入木马文件之后可以进行连接并且执行命令,发现可以执行一部分命令,说明phpostyudy没有做太多防护限制

IIS建站

IIS搭建在上一篇我们已经说到了,我们也进行传入木马文件进行连接访问,发现我们的webshell工具可以进行连接并且可以执行命令但是大多数命令不能执行。

总体来说使用宝塔的安全性最高,一开始宝塔也是没有这种安全措施的,但是随着市场份额的增加导致宝塔默认加入了一定的防护措施,其实phpstudy也可以加入防护措施但是默认是不开启的。于此,我们说phpstudy不常用于生产环境。

docker也是我们所经常用的拉取镜像的虚拟化技术,这里我们不过多详解,详细关注微信公众号tools0,在里面我有写docker技术的运用了。

由于目前来看国内大部分的docker源已经用不了了。建议使用dk提供的dockerhub或https://docker.m.daocloud.io这个源可能是我用过最好用的了,大家可以看看。

具体docker的使用还是建议使用命令行linux界面会稍微简洁一点。当然图形化界面也可以。

我在以前写的文章中有说到,docker搭建的网站和目录都是隔离的,一个一个镜像都是一个空间,所以哪怕拿到了docker的权限也不能影响到服务器本身,当然现在网上有很多docker逃逸的教程。这一点不过多阐述,使用docker的好处明显就是安全性可用性高。

建站分配站的概念:

1、托管

2、申请

原理:

(1)利用别人的模版搭建网站

影响:

(1)实质安全测试非目标资产

意思是测试的一般不是他的网站,只是一个模版站,没什么实质的信息。

前后端分离

前端和后端分离,就和我们的站库分离差不多

如果不分离,那么相对而言效率会高一点,因为不需要通过api接口进行数据传输

如果前后端分离,那么相对而言安全性会高一点

原理:前端JS框架,API传输数据

影响:

(1)前端页面大部分不存在漏洞

(2)后段管理大部分不在同域名

(3)获得权限有可能不影响后端

静态网站

静态网站是一种不依赖于动态服务器处理的网页类型。它是指所有的网页内容在服务器上已经生成,用户访问时,服务器直接将这些内容发送给用户浏览器,浏览器无需额外的处理即可呈现网页内容。

意思就是我们修改页面内容需要修改代码,而不是通过点击修改数据库。

一般静态网站的特点就是单页,很多站库合并的网站都会被我们当做伪静态,这个其实不是绝对的,是一个概念的区别。但是纯静态网站还是很好判断的

原理:数据没有传输性(js传输不算)

影响:(无漏洞)

总结一下:

宝塔面板搭建网站:安全性比较高

IIS自己搭建网站:部分安全服务默认需要自己开启

phpstudy搭建网站:部分安全服务默认需要自己开启,默认不开

docker:虚拟化技术导致容器隔离,让安全性更高

建站分配站:利用别人的模版的搭建的网站,并且意思就是说测试的一般不是别人的网站,就只是模版站,没什么有价值的测试信息

前后端分离:前端JS框架,API传输数据

静态网站:数据没有传输性(js代码除外)

相关推荐
IT-sec11 小时前
jquery-picture-cut 任意文件上传(CVE-2018-9208)
android·前端·javascript·安全·web安全·网络安全·jquery
网络安全-老纪12 小时前
网工考试——网络安全
网络·安全·web安全
嚯——哈哈13 小时前
高防服务器HOT:网络安全的无形盾牌,护航业务稳定
服务器·安全·web安全
The博宇15 小时前
真实网络安全面试场景题
安全·web安全
群联云防护小杜20 小时前
如何解决DDoS导致服务器宕机?
网络·网络协议·安全·web安全·udp
黑客-秋凌20 小时前
【网络安全】浅谈IP溯源的原理及方法
网络·tcp/ip·web安全
是乙太呀20 小时前
php反序列化1_常见php序列化的CTF考题
开发语言·web安全·渗透测试·php·ctf·反序列化
肾透侧视攻城狮21 小时前
网络空间安全之一个WH的超前沿全栈技术深入学习之路(11)——实战之DNMAP 分布式集群执行大量扫描任务:就怕你学成黑客啦!
分布式·学习·安全·web安全·网络安全·安全威胁分析·可信计算技术
sky_feiyu1 天前
HTTP超文本协议
网络·网络协议·web安全·http
44漏洞观察员1 天前
windows实战-wordpress——玄机靶场
服务器·windows·web安全·网络安全·安全威胁分析