[02]web安全渗透 03-04 搭建安全拓展 web源码

最新推荐文章于 2022-07-09 15:51:51 发布
最新推荐文章于 2022-07-09 15:51:51 发布
阅读量148 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/grb819/article/details/116985927
版权
本文介绍了如何搭建安全拓展,从IIS平台的脚本启用到域名IP目录解析的安全问题,再到文件后缀解析的安全性和中间件的漏洞。同时,文章探讨了WEB源码的扩展,包括源码目录结构、脚本类型以及在电商业务逻辑中的安全测试要点。
摘要由CSDN通过智能技术生成

一、搭建安全拓展

1. 常见搭建平台脚本启用

平台:IIS为例

回忆上周IIS web服务器和 FTP服务器

在这里插入图片描述

2. 域名IP目录解析安全问题

访问某个网站
IP访问,访问的是根目录
域名访问:根目录的某个文件夹

IP访问在域名访问的上一级,会扫描到更多,源码备份,打包文件

3. 常见文件后缀解析 对应安全

在这里插入图片描述
.asp 对应解析路径为asp

4. 常见安全测试中的安全防护

在这里插入图片描述
是否 匿名访问:基于用户的限制
是否使用IP访问:
设置拒绝访问的IP
在这里插入图片描述

5. WEB

了解本专栏 订阅专栏 解锁全文 超级会员免费看
(∪.∪ )...zzz
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
【小迪安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1054
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试安全防护 学校内
20210411web渗透学习之代码执行(又名代码注入)漏洞学习回顾记录(不定期更新)
qq_45290991的博客
04-11 272
学了很久的代码执行,这个漏洞很厉害,但是难挖,出于挖src的需求,结合ctf的实际情况,写下这篇文章。 一、动态代码执行(实际很少了) 也就是常说的$_GET['a']($_GET['b']);形式 连续2个用户可控的输入前者包含后者 那就可以考虑输入a=assert&b=命令 来执行,,如果$_GET['a']("$_GET['b']"),那就是把b当做字符串,就输入a=eval&b=命令 如:a=assert&b=system(id) a=assert...
web渗透测试----25、跨站脚本攻击简介--(1)XSS的构造方法
七天
03-09 1287
XSS的构造方法
【网络安全】常见文件后缀解析对应安全
m0_52149675的博客
03-21 871
有对应文件后缀对应在本机存在的.dll 映射文件 ,新建自定义后缀文件,用 caidao 连接,如果连接上这个文件就是一个后门
《小迪网络安全笔记》 第三节:基础入门-搭建安全拓展
小陈的博客
08-03 715
第三节:基础入门-搭建安全拓展 一、常见搭建平台脚本启用 ASP、PHP、ASPX、SP、PY、JAVAWEB等环境 二、域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 三、常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是间件可能默认或者添加某些设置导致解析时出现问题。
WEB渗透学习-upload-labs靶场
04-20
在网络安全领域,特别是Web渗透测试,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础到高级,帮助新手逐步提升对这类漏洞的...
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用文档说明.zip
最新发布
04-24
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用文档说明.zip本项目是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息...
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用说明(优质项目).zip
04-24
基于Python-Django的多功能Web安全渗透测试工具设计源码(优质项目).zip本项目是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息...
03天:基础入门-搭建安全拓展1
08-03
"第03天:基础入门-搭建安全拓展1"这个主题主要关注的是在建立和扩展网络基础设施时如何确保安全性。以下是一些关键知识点的详细解释: 1. **常见搭建平台脚本启用**: 在搭建网站时,我们通常会使用各种编程语言...
(4)web安全|渗透测试|网络安全web网站源码及相关分析
02-13 1957
web安全|渗透测试|网络安全web网站源码及相关分析
所有常见文件后缀名详解
06-24
所有常见文件后缀名详解
一、web安全入门基础知识
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建
B站小迪安全笔记第三天-搭建安全拓展
m0_61530426的博客
07-09 545
B站小迪安全笔记
2、web安全基础知识点2
qq_44704184的博客
03-14 360
常见搭建平台(间件)脚本启用 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试
站群程序程序介绍泛目录站群免费下载(无需引蜘蛛)
nifeng985的博客
11-15 2113
本文重点介绍站群程序内部文档说明 为不让程序泛滥,需要站群程序成品直接COPY使用的请联系发送。 主要文件夹:ljlseo 模板的标签为: <零距离_主关键词> \ljlseo\keywords 文件夹内 程序分配的当前域名主关键词 <零距离_随机关键词> \ljlseo\keywords 文件夹内的随机关键词 <外链> \ljlseo\wailian...
零距离泛目录网站站群二级程序源码 【程序开源无限制】
可看可用
03-18 2万+
网络最火的零距离泛目录泛解析站群最牛案例5天权重7 这个程序就是根据以前老程序 无后台 泛解析站群二次开发的通过推送或者百家号提交 达到收录的效果 近期流传一套泛站群单域名日收录上万的程序,此程序需配合软件使用,各行各业都能实现秒收。 本软件免打码、无需蜘蛛池、不掉线、操作简单方便。日推100万链接! 新域名正常单天可收录、3天出权重、5天权重4-5、20天权重7以上! ...
第四天:web源码拓展
weixin_45838262的博客
04-04 147
知识点: web源码目录结构 脚本类型 应用分类 其他说明 数据库配置文件(config),后台目录,模板目录,数据库目录(了解架构) asp。。。(数据库储存,解释或编译型,语言安全) 门户 综合类漏洞 电商 业务逻辑突出 论坛 xss逻辑突出 博客 漏洞少 第三方 根据功能决定 (源码功能决定漏洞类型 所使用的函数不一样) 框架或非框架 框架漏洞或无框架下一步思路 CMS识别(开源) 人工,工具,平台识别 开源或内部 开源直接找漏洞或审计 内部常用渗透测试 源码获取 备份获取,CMS识别后获取,特定源码
第三天:基础入门:搭建安全扩展
weixin_45838262的博客
04-03 155
涉及知识 常见搭建平台脚本启用 域名 对应文件夹 IP 对应根目录 目录解析安全问题 常见文件后缀解析对应安全 eg:iis的isapi扩展(应用程序扩展) 常见安全测试安全防护 身份验证(计算机用户:匿名访问(来宾用户)) 地址访问,域名访问(限制特定ip域名访问) 黑名单白名单 web后门与用户及文件权限 用户权限(来宾用户等) 文件执行权限 一般针对图片文件夹(没有要执行的脚本) 演示案例 间件识别:通过数据包返回结果 header -》server 间件安全漏洞 web间件常见漏洞总结
小迪WEB
热门推荐
weixin_52125240的博客
09-26 2万+
WEB-学习小迪安全第01天:基础入门—概念名词域名 小迪安全 第01天:基础入门—概念名词 域名 1)什么是域名? 域名,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时计算机的电子方位; 例如:www.bilibili.com 2)域名在哪里注册? 在第三方平台上注册,国内的一些域名注册商,比如阿里云旗下的万网。 3)什么是二级域名多级域名? 二级域名:顶级域名之下的域名。 例如: www.baidu.com为主域,则图news.baidu.com为二级域
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值