小迪安全第二天

最新推荐文章于 2024-10-10 08:55:11 发布
最新推荐文章于 2024-10-10 08:55:11 发布
阅读量28 收藏
点赞数
分类专栏: 小迪安全学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akdelt/article/details/134452018
版权
本文探讨了web架构的演进,包括常规的站库合一方式转变为站库分离,前后端分离的开发模式,以及使用Docker容器构建安全的应用。特别提到集成软件如宝塔和phpstudy的管理,以及静态Web和伪静态技术对安全的影响。
摘要由CSDN通过智能技术生成

文章目录

web 架构

常规

源码数据库在同一个服务器

站库分离

源码数据库不在同一服务器,数据库肯放在云数据库产品上。

前后端分离

前端js框架,用 api 传输数据。前端页面大部分不存在漏洞,后端和前端也不在同一域名下,就算获得前端权限也可能不影响后端

集成软件搭建 web 应用。

宝塔和 phpstudy。打包类集成化环境,权限配置或受控制

Docker 容器搭建应用

虚拟化技术独立磁盘空间,非真实物理环境,拿下权限也只是虚拟磁盘的权限,还要 docker 逃逸。

建站分配站

  1. 托管
  2. 申请

利用别人域名模版建立,实质安全测试非目标资产

静态Web

例子:大学学的html设计的网站

原理:数据没有传输性(js传输不算)

影响:无漏洞

伪静态

动态转为静态技术,伪装的静态

她送的苦茶子
关注
专栏目录
2020小迪安全第二天笔记-数据包相关知识
weixin_51566416的博客
12-01 936
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili http和https区别: HTTP(三层):HTTP、TCP、IP 抓到的数据是明文 https(四层):HTTP、SSL或者TLS(安全证书)、TCP、IP Request请求数据包格式 #请求行 请求行由三个标记组成:请求方法、请求URL和HTTP版本,它们用空格分享。 例如: GET /index.htm HTTP/1.1 HTTP规划定义了8种可能的请求方
小迪安全——第二天
2302_80045891的博客
07-12 471
在快代理上购买一个代理——>隧道代理——>在白名单中放入自己的IP,IP是会不断变化的,这就可以解决对方将自己的IP拉黑了,解决后续的访问问题,配置个代理就行了。数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等。组成部分:开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等。漏洞:大部分由源码,而源码是由开发语言开发的,所以漏洞是由代码写的有问题产生的。(可有可无,例如官方自带:office,而第三方软件:wps)
小迪安全学习笔记--第2天:基础概念---数据包拓展
zr1213159840的博客
10-12 435
课程链接 B站小迪安全课程第二节 基础入门–数据包拓展 http/s数据包 浏览器去请求网站,网站再返回数据给浏览器,在这个过程中使用的就是http或者https http添加代理 在请求返回过程中,两边都是经过了中间的代理,那么我们就可以在中间的代理上面进行一些操作。burpsuite就是作为一个代理存在,同时我们可以在代理上进行一些操作 http和https区别 http比https多一层,一个有加密一个没有加密 https的简要通信过程 http简要通信过程 建立连接–发送请求数据包–返回请求
小迪安全学习笔记第二天
m0_62599213的博客
02-23 273
2023第二天学习笔记
小迪安全第37天】反序列化
weixin_54252904的博客
06-20 606
PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 演示一把 上代码 改代码中接受以get方式传过来的str参数的值,并且如果该值经过反序列化之后的值如果等于$key(xiaodi)时就输出flag 因此我
小迪安全学习笔记1~3天
qq_62023614的博客
07-31 900
域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
小迪安全学习笔记6~7天
qq_62023614的博客
08-02 559
在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展。
小迪安全第一天笔记
m0_62599213的博客
05-10 699
域名: 域名:www.daidu.com 域名注册:万网等第三方平台 (https://wanwang.aliyun.com/) 二级域名:news.baidu.com/www.baidu.com 多级域名:shehui.news.baidu.com 域名发现的意义:很多网站都有一个主站和多个分站,例如这个域名不行可以在尝试下一个域名,增加了更多的可能性。 DNS: DNS:域名系统(服务)协议是一种分布式网络目录服务,主要用于域名与IP地址的相互转换,以及控制因特网的电子邮件发送。 host文件地址:C:
小迪安全第二天:基础入门-数据包拓展
menpan的博客
03-24 170
https://www.bilibili.com/video/BV1JZ4y1c7ro?p=2
小迪安全笔记,详细版本
01-23
小迪安全笔记】详细介绍了网络安全领域的多个关键知识点,涵盖了域名、DNS系统、CDN、DNS攻击、脚本语言以及后门等方面。 1. **域名**:域名是互联网上识别计算机或计算机组的名称,由点分隔的名字组成,如...
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 1167
信息安全工程师——机房安全分析与防护篇
CSRF 漏洞 - 学习手册
Blue17 の 小窝
10-05 592
CSRF 漏洞从初识到挖掘全流程笔记合集
HCIP--以太网交换安全(二)&端口安全
2401_83878929的博客
10-07 1159
端口安全MAC地址
Web安全 - 安全防御工具和体系构建
小工匠
10-03 1526
最终,设计一个适合公司的安全体系,既是对安全人员技术能力的考验,也是对其与业务发展需求契合度的挑战。安全防御工具只是辅助,最终的效果取决于如何选择和实施它们。
数据交换的金钟罩:合理利用安全数据交换系统,确保信息安全
最新发布
文件数据安全交换
10-10 1001
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。因此飞驰云联的安全数据交换系统---《Ftrans Ferry跨网文件安全交换系统》,通过建立可管控可审计、防泄露、安全合规的文件交换通道,解决政府单位在网络隔离条件下, 网间数据安全收发、摆渡和共享的难题,易用便捷,充分释放IT部门人力投入。
注册安全分析报告:惠农网
Explinks的博客
10-08 390
惠农网创立于 2013 年,以农业互联网信息服务平台为基础,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “
实施威胁暴露管理、降低网络风险暴露的最佳实践
网络研究观
10-04 1115
随着传统漏洞管理的发展,TEM 解决了因攻击面扩大和安全工具分散而产生的巨大风险。
第三十九章 创建安全对话
yaoxin521123的博客
10-05 667
安全对话中,Web客户端向Web服务发出初始请求并接收包含
小迪安全笔记:域名与DNS详解
"小迪安全笔记,详细版本" 在网络安全领域,了解基础概念是至关重要的,这份笔记详尽地涵盖了从域名到DNS再到CDN的基本知识,对于安全测试和防御策略的理解有着极大的帮助。 首先,域名是互联网上的一个关键元素,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值