基础入门,搭建安全拓展
一、知识点:
- 常见搭建平台脚本启用
- 域名IP目录解析安全问题
- 常见文件后缀解析对应安全
- 常见安全测试中的安全防护
- WEB后门与用户及文件权限
- ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境
二、web源码中敏感文件
后台路径,数据库配置文件,备份文件等
三、ip 或域名解析web源码目录对应下的存在的安全问题
域名访问,IP访问(结合类似备份文件目录)
四、常见的防护中的IP验证,域名验证等
- 用ip范文的权限比域名要高(比如有些目录只有ip才能访问出来:有些网站建设人会疏忽,可以用ip去访问,有时候会发现一下备份文件源码),使用御剑或者手动访问时候就最好用ip,别用域名
- 后门是否给予执行权限
- 后门是否给予操作目录或文件权限
- 后门是否给予其他用户权限
五、演示案例
(可以自行用iis服务器搭个网站,进行各种测试)
- 基于中间件的简要识别
- 基于中间件的安全漏洞
- 基于中间件的靶场使用
例:漏洞复现之 Apache HTTPD 多后缀解析漏洞