03基础入门:搭建安全拓展

已于 2022-03-08 13:56:39 修改
阅读量345 收藏
点赞数 1
分类专栏: web 文章标签: 网络 java 服务器
于 2022-03-08 13:18:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52718293/article/details/123315718
版权

1.域名IP目录解析安全问题

域名解析访问的是目录,ip访问的是域名解析目录的上级目录,它能扫到更多信息。
IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。

2.文件后缀解析安全:

在这里插入图片描述

拓展名(文件后缀名)对应解析的文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。
栗子如图:
后缀名为.dex的文件是用asp.dll脚本的格式去解析的。
如果我们添加一个后缀名为.xiaodi8的文件用asp.dll解析,如果在文件中写入一个后门,我们可以用蚁剑/菜刀连接上。
(用处:当上传一句话木马时会对你的文件后缀名进行过滤,通过使用其他能正常解析的后缀名来绕过,达到入侵目的)


3.安全测试中的安全防护:

校园网和企业内网会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限
在这里插入图片描述
身份认证:需输入用户名和密码
限制IP地址的访问:授权访问-只允许指定IP地址可以访问 / 拒绝访问-指定IP地址拒绝访问



4.WEB后门文件权限

网站下的每个目录都有不同的权限,不同的权限可能造成我们修改、上传的文件造成困难。因此我们要将木马文件放置有可执行权限的文件下面,如:网站根目录或者其他有脚本存放的目录下面。


1. 设置相关权限,禁止来宾用户的权限,导致连接的后门看不到任何东西,它属于防护技巧,同时也是测试里经常碰到的问题
2. 设置了执行权限,没有执行权限,文件不给执行,代码就无法正常执行,后门就无法正常使用
在这里插入图片描述

5.WEB中间件常见漏洞总结:

可以看看这些:
http://www.xiaodi8.com/?id=141
https://www.freebuf.com/articles/web/192063.html

查看中间件:
在这里插入图片描述


6.APP里提取Web

两种:反编译或者抓包
抓包:可获得域名,测试相关注入点。可以将url都导出来,变成一个数据包,然后做批量测试。
在这里插入图片描述
APK提取:反编译APK文件,可以看到网站信息,如APP涉及到的网站
在这里插入图片描述
在这里插入图片描述

7.Windows server 2019 IIS服务器安装

首先要在虚拟机上安装一个Windows server 2019
小瑶自己已经按照教程安好了,教程推荐看这个
https://blog.csdn.net/ba_wang_mao/article/details/107242828 windowsserver

在安装Windows server时,会要输入一个密钥,大家可以看看这个:https://www.jiaochengzhijia.com/os/6997.html#:~:text=Windows%20Server%202019%20%E5%AF%86%E9%92%A5%20Windows%20Server%202019%20Datacenter,Server%202019%20Standard%20%E5%AF%86%E9%92%A5%EF%BC%9A%20MFY9F-XBN2F-TYFMP-CCV49-RMYVH%20%E4%B8%80%E3%80%81windows%20server%202019%E9%9B%B6%E5%94%AE%E7%89%88%E6%B0%B8%E4%B9%85%E6%BF%80%E6%B4%BB%E7%A0%81%EF%BC%9A

安装好Windows server后,安装sii服务器,推荐看这个博客(已亲测)https://blog.csdn.net/ba_wang_mao/article/details/107242828

最后:问题都会解决的,一切都会变好的

*小瑶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020小迪安全第三天笔记-搭建安全拓展
weixin_51566416的博客
12-02 1002
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili 通过IIS(提供网站服务)搭建网站 首先打开windows2003虚拟机,进入IIS管理 开启“Active Server Pages”开启ASP 支持的脚本组件 Ip地址配置 “主机头值”表域名 但是这个域名并没有进行申请,只是用于测试,所以平时解析解析到外网上。 要用讲域名指向本地地址,可在本地“host”文件上进行修改 注意:域
基础入门-搭建安全扩展
qq_2604939074的博客
09-19 111
基础入门-搭建安全扩展 1, 常见搭建平台脚本启用 可以用域名访问网站,也可以使用ip访问网站,大多数情况下是使用域名访问网站 修改本地host文件,IP地址对应的域名 通过ip地址访问的目录和通过域名访问网站的目录是不一致的 ,ip访问的是上一级,可访问到更多的信息 IP访问的是根目录域名访问的是根目录下的站点目录 asp(动态服务器页面)ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境,可用来创建动态交互式网页并建立强大的web应用程序。当服务器
渗透测试-基础入门-搭建安全拓展_3
weixin_51446936的博客
06-26 336
一、常见搭建平台脚本启用 ASP,PHP,SPX,JSP,PY,JAVAWEB等环境 平台:IIS为例 二、域名IP目录解析安全问题 IP地址扫描可以扫到更多内容,可能是程序源码备份文件和敏感信息,扫域名只能发现一个文件夹下的所有文件 IP访问在域名访问的上一级,会扫描到更多,源码备份,打包文件 三、常见文件后缀解析对应安全 存在下载或为解析问题 四、常见安全测试中的安全防护 是否匿名访问:基于用户的限制 是否使用IP域名访问:设置拒绝访问的IP(白名单、黑名单设置) 五、WEB后门与用户及文
第三天:基础入门搭建安全扩展
weixin_45838262的博客
04-03 152
涉及知识 常见搭建平台脚本启用 域名 对应文件夹 IP 对应根目录 目录解析安全问题 常见文件后缀解析对应安全 eg:iis的isapi扩展(应用程序扩展) 常见安全测试中的安全防护 身份验证(计算机用户:匿名访问(来宾用户)) 地址访问,域名访问(限制特定ip域名访问) 黑名单白名单 web后门与用户及文件权限 用户权限(来宾用户等) 文件执行权限 一般针对图片文件夹(没有要执行的脚本) 演示案例 中间件识别:通过数据包返回结果 header -》server 中间件安全漏洞 web中间件常见漏洞总结 中
3.基础入门-搭建安全拓展
山兔的博客
08-26 162
web中间件常见漏洞总结.pdf 你要知道漏洞有哪些危害,以及怎么利用 app的地址用电脑是打不开的,因为数据包不一样,换成app的数据包就可以了
03天:基础入门-搭建安全拓展1
08-03
"第03天:基础入门-搭建安全拓展1"这个主题主要关注的是在建立和扩展网络基础设施时如何确保安全性。以下是一些关键知识点的详细解释: 1. **常见搭建平台脚本启用**: 在搭建网站时,我们通常会使用各种编程语言...
第02天:基础入门-数据包拓展1
08-03
当我们讨论网络安全时,必须考虑可能的攻击层面,包括源码漏洞、搭建平台的安全配置、系统的安全更新以及网络层的攻击。例如,目录遍历攻击可能导致访问到服务器上不应公开的文件,弱口令可能导致账户被盗,而IP和...
Web安全渗透测试基础入门篇视频.rar
08-13
Web安全渗透测试基础入门篇001ppt WEB爆破口令工具实现原理解析.wmv WEB各个架构信息探针补充Wmv WEB各个架构信息探针实战wmv WEB目录文件扫描工具实现原理解析.wmv WEB伪造数据包进行XSS攻击演示wmv 基于S平台搭建...
Web安全基础入门+信息收集篇培训视频.rar
11-24
Web安全渗适测试基础入门篇001,ppt WEB燝破口令工目实现原理解析wmv WEB名个架构信息探针补充wmv WEB名个架构信息探针实战Wm WEB目录文件扫描工具实现原理解析wmv WEB伪造数据包进行XS攻主演示Wmy 基于平台搭建ASP...
everykey-tutorial:Everykey入门
05-06
【标题】"Everykey入门教程" 【描述】"这个教程的目标是引导用户,尤其是初学者,进入嵌入式开发的世界,特别关注Everykey开发板的使用。通过学习,你将了解如何有效地利用Everykey进行各种创新项目。在这个过程中...
3.搭建安全拓展
博客地址 www.sec0nd.top
07-19 174
文章目录涉及知识:安全问题实战演示搭建IIS文件后缀解析isapi拓展常见防护身份验证、匿名访问ip域名限制web后门中间件的识别中间件的安全漏洞中间件靶场vulhub 涉及知识: 常见搭建平台脚本启用 域名 IP 目录解析安全问题 常见文件后缀解析对应安全 常见安全测试中的安全防护 WEB 后门与用户及文件权限 安全问题 ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境 WEB 源码中敏感文件 后台路径,数据库配置文件,备份文件等 IP域名解析 WEB 源码目录对应下的存在的安全
网安自学笔记——搭建安全拓展
qq_44456233的博客
09-23 139
一、常见的搭建平台脚本启用 1、#ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境。 注:脚本简单地说就是一条条的文字命令,这些文字命令是可以看到的,脚本程序在执行时,是由系统的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行,因为脚本在执行时多了一道翻译的过程,所以它比二进制程序执行效率要稍低一些。 二、域名ip目录解析安全问题(难点) 1、域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分; 2、IP扫描可以直接扫描出来服务器的根目录,得到的信息
03天:基础入门-搭建安全拓展
weixin_43909650的博客
02-10 1793
03天:基础入门-搭建安全拓展 域名IP目录解析安全问题 视频中的图: 本人实验图: 常见文件后缀解析对应安全 常见安全测试中的安全防护 WEB后门与用户及文件权限 演示案例: 基于中间件的简要识别 基于中间件的靶场使用 涉及资源: https://www.vulhub.org/
WEB安全_基础入门_搭建安全拓展 常见搭建平台(中间件)脚本启用
erfan_lang的博客
08-11 659
目录常见搭建平台(中间件)脚本启用一、常见搭建平台脚本启用二、域名IP目录解析安全问题三、常见文件后缀解析对应安全四、常见安全测试中的安全防护1.网和企业内网会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。2.身份验证和访问控制,基于用户的限制3.限制IP地址的访问,授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问五、WEB源码中敏感文件后台路径配置文件备份文件六、web后门与用户及文件权限七、基于中间件的简要识别八、基于中间件的安全漏洞 常见搭建平台(中间件)脚本启用
网络安全域名 IP 目录解析安全问题
m0_52149675的博客
03-21 495
我们在用IP直接访问网站时访问到网站的根目录 www ,用域名访问时访问到的是建设网站时绑定的指定目录
http域名解析过程以及存在的dns劫持安全问题
uc555666888的博客
05-04 886
1、http工作过程中的域名解析过程 http工作过程中会首先进行域名解析域名解析的步骤如上图所示,第一步搜索浏览器自身的dnf缓存,如果在浏览器的dns缓存中找到目标网址所要访问的IP地址(dns地址会有默认时效,超过一段时间就会更新和替换),则访问之。如果没有找到则进行第二步搜索操作系统自身的dns缓存如果还没有找到,则第三步搜索系统的hosts文件,寻找有没有网址地址和ip地址的映射。...
一、web安全入门基础知识
热门推荐
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建
【小迪安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1042
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
网络协议-SOTP 协议格式
最新发布
ziyunLLL的博客
07-19 393
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
OnePython入门指南:搭建环境与传感器实验
"OnePython用户文档-适配...通过这些实验和资料,用户不仅能够掌握OnePython的基本用法,还能深入了解MicroPython编程,为单片机入门、毕业设计或智能硬件项目提供实践平台,同时也推动了开源硬件社区的创新和交流。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值