黑客攻击必须要掌握的后端基础:服务器的配置、CGI的概念、PHP 动态语言、代理服务器、反向探测技术、正向代理、反向代理、访问控制

于 2024-03-06 09:43:56 发布
阅读量92 收藏
点赞数 2
分类专栏: Hacker技术提升基地 文章标签: 服务器 php 运维 黑客 攻击 CGI 代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014374009/article/details/136496630
版权
本文介绍了黑客攻击中必须掌握的后端基础知识,包括服务器配置(Apache的CGI与FastCGI模式)、代理服务器(Nginx的正向和反向代理配置)以及CGI概念和PHP动态语言。强调了代理服务器的安全配置,如访问控制和识别代理IP的重要性。
摘要由CSDN通过智能技术生成

黑客攻击必须要掌握的后端基础:服务器的配置、CGI的概念、PHP 动态语言、代理服务器、反向探测技术、正向代理、反向代理、访问控制。

在这里插入图片描述

一、服务器的配置

  1. Apache 可以配置将PHP解释器作为CGI脚本(mod_cgi),或者作为Apache本身的一个模块(mod_php),还有就是FastCGI模式来运行。
    CGI是比较原始的方式,需要把php 脚本放在conf 文件中设置的目录内并给与可执行权限(bash,perl 等脚本同理),比如
    ScriptAlias /cgi-bin/ “/var/www/cgi-bin/”
    或者 在设置目录外执行 cgi,比如
    # To use CGI scripts outside of ScriptAliased directories:
    # (You will also need to add “ExecCGI” to the “Options” directive.)
    # AddHandler cgi-script .cgi
    Apache默认是以第二种方式运行PHP的;
    而配置FastCGI模式需要下载安装相关的包mod_fastcgi,且 php 编译时需要支持 –-enable-fpm(5.3之前版本是 --enable-fastcgi )。
    不要认为没有搭配php/python/perl的Apache就是安全的,也不要认为安全配置PHP后webshell就不能执行系统命令,因为Apache本身支持CGI和SSI,甚至需要注意 .htaccess 文件的上传覆盖。

  2. Nginx 默认不支持CGI

了解本专栏 订阅专栏 解锁全文 超级会员免费看
代码讲故事
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
php cgi漏洞,CGI漏洞攻击合集上
weixin_42515739的博客
03-13 1825
Filename: README.patch.3018Algorithm #1 (sum -r): 37955 11 README.patch.3018Algorithm #2 (sum): 15455 11 README.patch.3018MD5 checksum: 1169EB51D75E0794C64C2C1FD6211B69Filename: patchSG0003018Algo20. ...
漏洞扫描器CGI漏洞攻击手册
wangcheng711@gmail.com
04-11 2487
1.carbo.dll iCat Carbo服务器一个网络购物程序,它被 PC杂评为最好的网络购物软件.安全专家Mikael Johansson发现 iCat Carbo服务器版本 3.0.0.中存在一个漏洞,这个漏洞让我们每个人查看系统中的任何文件在(除文件之外和一些特殊字符). 攻击方法: 提交这样的http请求 : http://host/carbo.dll?icatcommand=fi
一次成功的cgi漏洞入侵
04-19
网站安全包括许多方面,尽管网管们千方百计的防范于未然,可有时还是难免疏漏。 我的“再谈cgi漏洞攻击”一文中,我利用cgi漏洞攻进几台服务器,这次我将以一次,从发现漏洞到利用漏洞, 从而攻进主机的全过程来讲解,与大家交流。
php-cgi 攻击,PHP安全之以CGI 模式安装时可能遇到的攻击及解决办法
weixin_39929687的博客
03-27 389
情形一:只运行公开的文件如果 web 服务器中所有内容都受到密码或 IP 地址的访问限制,就不需要设置这些选项。如果 web 服务器不支持重定向,或者 web 服务器不能和 PHP 通信而使访问请求变得更为安全,可以在 configure 脚本中指定--enable-force-cgi-redirect选项。除此之外,还要确认 PHP 程序不依赖其它方式调用,比如通过直接的http://my...
CGI漏洞攻击手册
蓝法典的专栏
03-20 9154
在论坛里看到过bamboo写的CGI漏洞利用的文章,我就想把他扩大一些.一直想完善一些再贴上来,但我并没有机会和时间试过所有漏洞,想到论坛里还有那么多同志会来完善的,就取名CGI漏洞攻击手册version-0.02(升级了bamboo的),旨在抛砖引玉,欢迎任意修改,增加...更欢迎任意散播.:)一. phf漏洞这个phf漏洞好象是最经典了,几乎所有的文章都会介绍,可以执行服务器的命令,如显示/e
nginx配置、proxy_passfast 和 cgi_pass区别,反向代理,负载均衡、nginx+fastcgi+php的并发阻塞问题
01-09
2、反向代理proxy_pass 2.1、反向代理 2.2、反向代理-使用upstream 2.3、反向代理-负载均衡-轮循模式 2.4、反向代理-负载均衡-权重模式 2.4、反向代理-负载均衡-ip_hash方式 3、网关代理fastcgi_pass(php+nginx配合...
第1章PHP介绍及服务器环境配置.ppt
11-12
"PHP介绍及服务器环境配置" 本章节将对PHP进行介绍,并详细讲解服务器环境配置的相关知识点。 1. 静态网站 静态网站是指在网页文件中不存在程序代码,只有HTML标记,通常网页文件以.htm或.html结尾。静态网站的...
ubuntu上配置Nginx+PHP5 FastCGI服务器配置
01-11
Ubuntu 9.04可以直接通过apt安装,也可以从这里下载最新的deb包:sudo apt-get install nginx如果要自己编译的话,需要确保自己已经有编译器和PCRE的库(用于Nginx的rewrite模块,如果不需要这个模块可以在configure...
网站服务器数据库PHP配置方法.docx
05-12
2. **PHP**:PHP是一种开源的服务器端脚本语言,广泛用于Web开发。可以从PHP官网(https://www.php.net/downloads.php)下载。例如,下载`php-5.0.5-Win32.zip`,同样,也可以根据需要选择不同版本。 3. **MySQL...
phpwamp多版PHP同时运行和反向代理.zip
04-27
首先,确保Apache已启用`mod_proxy`模块,然后在虚拟主机配置中添加反向代理规则: ```apacheconf *:80> ServerName gateway.com ProxyPass /java http://localhost:8080/ ProxyPassReverse /java ...
PHP反序列化漏洞之CGI远程代码执行漏洞
LCW991207的博客
08-17 566
CVE-2012-1823就是php-cgi这个sapi出现的漏洞,本漏洞只出现在以cgi模式运行的php中。
Fastcgi协议与PHP-FPM 攻击方法
05-25 846
1、CGI(Common Gateway Interface) 通用网关接口 最早的服务器只能够返回静态资源给浏览器。但这种方式满足不了人们的所有需求,于是出现了动态网站技术,但是Web服务器不能够直接解释执行动态脚本,于是人们为了能够让Web服务器与外部应用程序(CGI程序)互相通信。CGI通用网关接口应运而生。简单地说CGI就像是一种协议,这种协议规定了Web服务器和运行在Web服务器上的应用程序进行交流的方式。 当Web服务器需要解析动态脚本时,Web服务器会Fork一个新的进程来启动CGI成语完
PHP-CGI漏洞成因原理剖析和利用
weixin_30576827的博客
05-23 771
PHP-CGI漏洞成因原理剖析和利用http://www.2cto.com/Article/201205/130488.html  PHPCGI漏洞最早由国外安全研究者于近日公开,其实际存在的时间则长达约8年之久。据360网站安全工程师介绍,该漏洞是用户将HTTP请求参数提交至Apache服务器,通过mod_cgi模块交给后端php-cgi处理,但在执行过程中部分字符没有得到处理,比如空格、等...
CGI技术原理
热门推荐
EIP的专栏
09-08 1万+
一、CGI技术 1.1 CGI的提出   CGI是外部扩展应用程序与WWW服务器交互的一个标准接口。按照CGI标准编写的外部扩展应用程序可以处理客户端(一般是WWW浏览器)输入的协同工作数据,完成客户端与服务器的交互操作。这在实际应用中非常有用,如可以编写CGI外部扩展程序来访问外部数据库,客户端用户可以通过它和WWW服务器来进行数据查询。CGI一般分两种:标准CGI和缓冲CGI。所有
CGI详解(原理,配置及访问)
最新发布
redparrot2008的博客
09-06 4390
进程A再继续往下执行,但进程A所操作的文件依旧是原来文件的就版本,此时进程A的操作结果将覆盖进程B的操作结果。接下来,CGI程序的执行流程是这样的:查询与该CGI程序进程相应的环境变量:第一步是request_method,如果是POST,就从环境变量的len,然后到该进程相应的标准输入取出len长的数据。服务器和客户端之间的通信,是客户端的浏览器和服务器端的http服务器之间的HTTP通信,我们只需要知道浏览器请求执行服务器上哪个CGI程序就可以了,其他不必深究细节,因为这些过程不需要程序员去操作。
网络安全,别报!!!
wangluo12138的博客
04-20 221
网络安全究竟要不要报?7年网工如是说
Web渗透之常见的网站攻击方式
m0_56632799的博客
12-30 1059
Web渗透之常见的网站攻击方式
cgi的模式运行php,phpCGI模式安装时可能遇到的攻击及解决办法
weixin_28878185的博客
03-11 384
如果不想把 PHP 嵌入到服务器端软件(如 Apache)作为一个模块安装的话,可以选择以 CGI 的模式安装。或者把 PHP 用于不同的 CGI 封装以便为代码创建安全的 chroot 和 setuid 环境。这种安装方式通常会把 PHP 的可执行文件安装到 web 服务器cgi-bin 目录。尽管 PHP 可以作为一个独立的解释器,但是它的设计使它可以防止下面类型的攻击:访问系统文件:ht...
动态网站开发基础概念技术服务器平台
"本章介绍了动态网站开发的基础知识,包括动态网页的概念、特点以及常见的动态网页实现技术,如CGI、ADO、ASP、JSP和PHP动态网站依赖数据库和服务器后台程序,能够根据用户需求实时生成内容。" 在本章内容中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码讲故事

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值