在日常生活中,我们常听人提起网站备案。其实,网站备案亦是网络安全中的一环,那么网站备案到底是怎样的呢?是根据国家法律法规需要网站的所有者向国家有关部门申请的备案,主要有ICP备案和公安局备案。非经营性网站备案(Internet Content Provider Registration Record),指中华人民共和国境内信息服务互联网站所需进行的备案登记作业。
攻击者视角
通过企业备案查询,获取相关网络资产,并进行后续测试,获取权限。
Eg.通过在某空间测绘中进行备案查询,发现该单位某站点存在一个目录遍历。
其中存在文件上传的接口,并且该接口对上传的文件没有任何限制,可直接上传webshell。
企业可以去该网站上查询自身已备案的网络资产,及时关闭已弃用的应用和服务。
https://beian.miit.gov.cn/#/Integrated/index