小迪安全第03天 基础入门,搭建安全拓展

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量798 收藏 2
点赞数 1
分类专栏: 2020小迪安全 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46116117/article/details/121444344
版权

03 基础入门,搭建安全拓展

涉及知识:

常见搭建平台脚本启用

​ ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境

域名 IP 目录解析安全问题

​ WEB 源码中敏感文件

​ 后台路径,数据库配置文件,备份文件等

​ IP 或域名解析 WEB 源码目录对应下的存在的安全问题

​ 域名访问,IP 访问 (结合类似备份文件目录)

​ IP访问为域名的上级目录

​ IP访问为根目录,域名访问为根目录下的站点目录

常见文件后缀解析对应安全

​ 脚本后缀对应解析(其他格式可相同-上传安全)

​ 存在下载或为解析问题

常见安全测试中的安全防护

​ 常见防护中的 IP 验证,域名验证等

WEB 后门与用户及文件权限

​ 后门是否给予执行权限

​ 后门是否给予操作目录或文件权限

​ 后门是否给予其他用户权限

基于中间件的简要识别

通过抓取数据包,来判断是什么中间件

请添加图片描述

不同的中间件有不同的漏洞

基于中间件的安全漏洞
最低0.47元/天 解锁文章
黑小薛
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Day03 基础入门-搭建安全扩展
风羽墨客的博客
12-06 1721
Day03 基础入门-搭建安全扩展 小迪渗透教程笔记
小迪安全day03】vm16\win2003 iis\kali linux\vulhub安装和配置+基础知识
RichUee的博客
11-24 630
小迪安全第3知识复盘
2020小迪培训(第03 基础入门-搭建安全拓展
是阿明呐的博客
07-25 519
基础入门-搭建安全拓展 涉及知识 常见搭建平台脚本启用 域名ip目录解析安全问题 常见文件后缀解析对应安全 常见安全测试中的安全防护 web后门与用户及文件权限 #ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 #WEB源码中敏感文件 后台路径,数据库配置文件,备份文件 #ip域名解析web源码目录对应下的存在安全问题 域名访问,ip访问(结合类似备份文件目录) 域名访问时会指向绝对路径的某个目录(根目录下的某个目录)图片在上面 Ip访问时会指向根目录 www目录
web安全搭建平台安全
weixin_46425310的博客
06-11 264
搭建安全拓展 常见搭建平台(中间件)脚本启用: 以IIS为例,在IIS管理器中的web服务扩展中启用 域名IP目录解析安全问题: 有些网站在搭建的时候,用IP直接访问和用域名直接访问所处的文件夹不同,用IP地址访问一般会在域名文件夹的上一级。因为域名解析一般指向某个目录,而IP往往指向根目录。因此在渗透时,用IP地址进行扫描能获取到更多的信息。 常见文件后缀解析对应安全: 文件解析漏洞是指中间件(IIS、Apache、Nginx等)在解析文件时出现了漏洞,从而攻击者可以利用该漏洞实现非法文件的解析。需要注意
小迪安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1032
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
小迪安全】第03基础入门-搭建安全拓展
想努力,想追上在前面的人
01-30 152
关于站点搭建的一些基础知识。
小迪安全第04 基础入门WEB源码拓展
qq_46116117的博客
11-21 820
04 基础入门WEB源码拓展 前言: WEB 源码安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本 源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源 码的获取将为 后期的安全测试提供了更多的思路。 知识点:  关于 WEB 源码目录结构  关于 WEB 源码脚本类型  关于 WEB 源码应用分类  关于 WEB 源码其他说明 #数据库配置文件,
03基础入门-搭建安全拓展
cailme的博客
03-30 50
渗透测试day3
03基础入门-搭建安全拓展1
08-03
基础入门-搭建安全拓展涉及知识:常见搭建平台脚本启用域名 IP 目录解析安全问题常见文件后缀解析对应安全常见安全测试中的安全防护WEB 后门与用户及文件权限#W
android开发入门与实战(下)
01-19
第14章 Android综合案例三——基于Android的豆瓣网(Web2.0)移动客户端开发 14.1 关于豆瓣网和豆瓣网API 14.1.1 豆瓣网介绍 14.1.2 豆瓣网API介绍 14.1.3 豆瓣网API认证 14.1.4 豆瓣网API快速入门 14.1.5 豆瓣网API...
android开发入门与实战(上)
01-19
第14章 Android综合案例三——基于Android的豆瓣网(Web2.0)移动客户端开发 14.1 关于豆瓣网和豆瓣网API 14.1.1 豆瓣网介绍 14.1.2 豆瓣网API介绍 14.1.3 豆瓣网API认证 14.1.4 豆瓣网API快速入门 14.1.5 豆瓣网API...
Google.Android开发入门与实战
04-09
 《Android开发入门与实战》内容上涵盖了用Android开发的大部分场景,从Android基础介绍、环境搭建、SDK介绍、Market使用,到应用剖析、组件介绍、实例演示等方面。从技术实现上,讲解了5个Android平台下的完整综合...
Google Android开发入门与实战的代码
03-24
第14章 Android综合案例三——基于Android的豆瓣网(Web 2.0)移动客户端开发 260 14.1 关于豆瓣网和豆瓣网API 260 14.1.1 豆瓣网介绍 260 14.1.2 豆瓣网API介绍 261 14.1.3 豆瓣网API认证 261 14.1.4...
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1419
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 450
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
《软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1157
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
Java中的安全管理器和权限控制
weixin_53840353的博客
06-13 546
Java安全管理器是一种允许应用程序在运行时检查对系统资源(如文件和网络)的访问权限的机制。通过定义和安装自定义的安全策略,程序员可以控制哪些代码能够执行特定的操作,从而保护系统资源的安全。@Override// 自定义安全策略throw new SecurityException("写文件操作被禁止!");try {// 尝试写文件操作System.err.println("安全异常:" + e.getMessage());在这个示例中,自定义的禁止所有文件写操作。
上心师傅的思路分享(三)--Nacos渗透
weixin_72543266的博客
06-10 1121
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
web安全基础入门
08-13
你是一个零基础入门学习者,以下是一些建议: 1. 学习基础知识:首先,你需要了解Web的基本工作原理和常见的Web安全威胁。你可以学习关于HTTP协议、URL编码、会话管理和身份验证等方面的知识。 2. 学习常见攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值