宝塔建站
以下步骤目前在VPS上操作
直接网上搜索宝塔官网进行下载window面板,然后安装宝塔面板
https://download.bt.cn/win/panel/BtSoft.zip
也可以直接用我这个下载链接
等待安装成功,安装成功后直接进入宝塔面板
登陆宝塔面板之后我们需要注册一个账号。然后进入宝塔面板安装我们所需要的程序。
直接安装推荐安装的,然后进入软件商店--》一键部署---〉选择zblog---》按照提示一步一步进行部署 ---〉传入木马文件 ---》蚁剑 /冰蝎 进行连接执行命令 ---〉宝塔不能执行命令
phpstudy建站
php study也是差不多的部署流程,部署完毕之后发现phpstudy搭建的网站传入木马文件之后可以进行连接并且执行命令,发现可以执行一部分命令,说明phpostyudy没有做太多防护限制
IIS建站
IIS搭建在上一篇我们已经说到了,我们也进行传入木马文件进行连接访问,发现我们的webshell工具可以进行连接并且可以执行命令但是大多数命令不能执行。
总体来说使用宝塔的安全性最高,一开始宝塔也是没有这种安全措施的,但是随着市场份额的增加导致宝塔默认加入了一定的防护措施,其实phpstudy也可以加入防护措施但是默认是不开启的。于此,我们说phpstudy不常用于生产环境。
docker也是我们所经常用的拉取镜像的虚拟化技术,这里我们不过多详解,详细关注微信公众号tools0,在里面我有写docker技术的运用了。
由于目前来看国内大部分的docker源已经用不了了。建议使用dk提供的dockerhub或https://docker.m.daocloud.io这个源可能是我用过最好用的了,大家可以看看。
具体docker的使用还是建议使用命令行linux界面会稍微简洁一点。当然图形化界面也可以。
我在以前写的文章中有说到,docker搭建的网站和目录都是隔离的,一个一个镜像都是一个空间,所以哪怕拿到了docker的权限也不能影响到服务器本身,当然现在网上有很多docker逃逸的教程。这一点不过多阐述,使用docker的好处明显就是安全性可用性高。
建站分配站的概念:
1、托管
2、申请
原理:
(1)利用别人的模版搭建网站
影响:
(1)实质安全测试非目标资产
意思是测试的一般不是他的网站,只是一个模版站,没什么实质的信息。
前后端分离
前端和后端分离,就和我们的站库分离差不多
如果不分离,那么相对而言效率会高一点,因为不需要通过api接口进行数据传输
如果前后端分离,那么相对而言安全性会高一点
原理:前端JS框架,API传输数据
影响:
(1)前端页面大部分不存在漏洞
(2)后段管理大部分不在同域名
(3)获得权限有可能不影响后端
静态网站
静态网站是一种不依赖于动态服务器处理的网页类型。它是指所有的网页内容在服务器上已经生成,用户访问时,服务器直接将这些内容发送给用户浏览器,浏览器无需额外的处理即可呈现网页内容。
意思就是我们修改页面内容需要修改代码,而不是通过点击修改数据库。
一般静态网站的特点就是单页,很多站库合并的网站都会被我们当做伪静态,这个其实不是绝对的,是一个概念的区别。但是纯静态网站还是很好判断的
原理:数据没有传输性(js传输不算)
影响:(无漏洞)
总结一下:
宝塔面板搭建网站:安全性比较高
IIS自己搭建网站:部分安全服务默认需要自己开启
phpstudy搭建网站:部分安全服务默认需要自己开启,默认不开
docker:虚拟化技术导致容器隔离,让安全性更高
建站分配站:利用别人的模版的搭建的网站,并且意思就是说测试的一般不是别人的网站,就只是模版站,没什么有价值的测试信息
前后端分离:前端JS框架,API传输数据
静态网站:数据没有传输性(js代码除外)