网络安全 day2 --- 宝塔搭建网站、phpstudy、IIS搭建网站的区别、docker、建站分配站、前后端分离

宝塔建站

以下步骤目前在VPS上操作

直接网上搜索宝塔官网进行下载window面板,然后安装宝塔面板

https://download.bt.cn/win/panel/BtSoft.zip

也可以直接用我这个下载链接

等待安装成功,安装成功后直接进入宝塔面板

登陆宝塔面板之后我们需要注册一个账号。然后进入宝塔面板安装我们所需要的程序。

直接安装推荐安装的,然后进入软件商店--》一键部署---〉选择zblog---》按照提示一步一步进行部署 ---〉传入木马文件 ---》蚁剑 /冰蝎 进行连接执行命令 ---〉宝塔不能执行命令

phpstudy建站

php study也是差不多的部署流程,部署完毕之后发现phpstudy搭建的网站传入木马文件之后可以进行连接并且执行命令,发现可以执行一部分命令,说明phpostyudy没有做太多防护限制

IIS建站

IIS搭建在上一篇我们已经说到了,我们也进行传入木马文件进行连接访问,发现我们的webshell工具可以进行连接并且可以执行命令但是大多数命令不能执行。

总体来说使用宝塔的安全性最高,一开始宝塔也是没有这种安全措施的,但是随着市场份额的增加导致宝塔默认加入了一定的防护措施,其实phpstudy也可以加入防护措施但是默认是不开启的。于此,我们说phpstudy不常用于生产环境。

docker也是我们所经常用的拉取镜像的虚拟化技术,这里我们不过多详解,详细关注微信公众号tools0,在里面我有写docker技术的运用了。

由于目前来看国内大部分的docker源已经用不了了。建议使用dk提供的dockerhub或https://docker.m.daocloud.io这个源可能是我用过最好用的了,大家可以看看。

具体docker的使用还是建议使用命令行linux界面会稍微简洁一点。当然图形化界面也可以。

我在以前写的文章中有说到,docker搭建的网站和目录都是隔离的,一个一个镜像都是一个空间,所以哪怕拿到了docker的权限也不能影响到服务器本身,当然现在网上有很多docker逃逸的教程。这一点不过多阐述,使用docker的好处明显就是安全性可用性高。

建站分配站的概念:

1、托管

2、申请

原理:

(1)利用别人的模版搭建网站

影响:

(1)实质安全测试非目标资产

意思是测试的一般不是他的网站,只是一个模版站,没什么实质的信息。

前后端分离

前端和后端分离,就和我们的站库分离差不多

如果不分离,那么相对而言效率会高一点,因为不需要通过api接口进行数据传输

如果前后端分离,那么相对而言安全性会高一点

原理:前端JS框架,API传输数据

影响:

(1)前端页面大部分不存在漏洞

(2)后段管理大部分不在同域名

(3)获得权限有可能不影响后端

静态网站

静态网站是一种不依赖于动态服务器处理的网页类型。它是指所有的网页内容在服务器上已经生成,用户访问时,服务器直接将这些内容发送给用户浏览器,浏览器无需额外的处理即可呈现网页内容。

意思就是我们修改页面内容需要修改代码,而不是通过点击修改数据库。

一般静态网站的特点就是单页,很多站库合并的网站都会被我们当做伪静态,这个其实不是绝对的,是一个概念的区别。但是纯静态网站还是很好判断的

原理:数据没有传输性(js传输不算)

影响:(无漏洞)

总结一下:

宝塔面板搭建网站:安全性比较高

IIS自己搭建网站:部分安全服务默认需要自己开启

phpstudy搭建网站:部分安全服务默认需要自己开启,默认不开

docker:虚拟化技术导致容器隔离,让安全性更高

建站分配站:利用别人的模版的搭建的网站,并且意思就是说测试的一般不是别人的网站,就只是模版站,没什么有价值的测试信息

前后端分离:前端JS框架,API传输数据

静态网站:数据没有传输性(js代码除外)

相关推荐
易云码4 小时前
信息安全建设方案,网络安全等保测评方案,等保技术解决方案,等保总体实施方案(Word原件)
数据库·物联网·安全·web安全·低代码
Spring_java_gg7 小时前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
独行soc8 小时前
#渗透测试#SRC漏洞挖掘#深入挖掘XSS漏洞02之测试流程
web安全·面试·渗透测试·xss·漏洞挖掘·1024程序员节
newxtc8 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件
mingzhi611 天前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
安胜ANSCEN1 天前
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
网络·安全·web安全·威胁检测·自动化响应
超栈2 天前
蓝桥杯-网络安全比赛题目-遗漏的压缩包
前端·网络·sql·安全·web安全·职场和发展·蓝桥杯
黑龙江亿林等级保护测评2 天前
DDOS防护介绍
网络·人工智能·安全·web安全·智能路由器·ddos