1、涉及的知识点
- 常见搭建平台脚本启用
- 域名旧目录解析安全问题
- 常见文件后缀解析对应安全
- 常见安全测试中的安全防护
- WEB后门与用户及文件权限
2、常见的问题/后门注意事项
- 域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分(blog);IP扫描可以直接扫描出来服务器的根目录(www),得到的信息更多;
- ASP,PHP,ASPx,JSP,PY,JAVAWEB等环境
- WEB源码中敏感文件
后台路径,数据库配置文件,备份文件等- ip或域名解析web
源码目录对应下的存在的安全问题
域名访问,IP访问(结合类似备份文件目录)- 脚本后缀对应解析(其他格式可相同-上传安全)
存在下载或为解析问题- 常见防护中的IP验证,域名验证等
- 后门是否给予执行权限
- 后门是否给予操作目录或文件权限#后门是否给予其他用户权限
- 总结下关于可能会存在的安全或防护问题?