域名 IP目录解析安全问题
域名可以解析成IP地址
网站的搭建支持域名访问,支持IP地址访问
网站根目录下的文件或为一个域名eg:blog phpad':MyxaAdoixa13xasla uplead
域名访问只会访问到blog下的文件信息
IP地址访问一般可以扫描到域名的上一级
只有在IP地址访问的时候才可以访问到www.zip文件
常见文件后缀解析对应安全
网站的搭建平台有一个如图所示设置平台 匹配后缀名
asp cdx cer都可以对应解析asp.dll文件
常见安全测试中的安全防护
1.身份验证和访问控制
(1)启用匿名访问勾选掉的话再次访问的话就有需要用户名,密码访问,(基于用户访问)
(2)用户访问需经过审问验证(四种勾选其一)
2.IP 地址与域名限制
(1)第一步:可以先选择拒绝或者授权是访问(黑白名单)
第二步:添加选择一台,一组,或者域名限制登陆,填写其IP地址
3.安全通信:需要下载证书才能访问
WEB后门与用户及文件权限(文件拒绝写入)
window 权限拒绝与允许同时存在—拒绝
当选择无的时候无执行权限,后门无用其他办法试着将后门放到其他有执行权限的文件
Vulhub - Docker-Compose file for vulnerability environment漏洞靶场