| 思维导图
#章节点 应用架构:Web/APP/云应用/三方服务/负载均衡等 安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等 渗透命令:文件上传下载/端口服务/Shell反弹等 抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等 算法加密:数据编码/密码算法/密码保护/反编译/加壳等 web网站: #知识点: 1、Web常规-系统&中间件&数据库&源码等 常规的Web应用搭建: 1、购买云服务器,购买域名 2、云服务器去搭建中间件 3、下载并上传Web程序源码 4、添加网站并绑定域名目录 web源码方面:开源、商业、自写 SRC:从源码方面可判断挖掘难度 开源——源码可见
开源——源码不可见(加密、语言特性决定)php代码加密 asp代码加密 加密:(源码变成乱码形式)
语言特性:比如java
白盒测试——代码审计 路由访问 常规访问模式:url和文件目录对应上
路由访问:mvc源码、java url和文件目录对应不上 要根据配置路由决定
跟网站的配置有关,有些网站的源码跟常规的不一样,网站源码跟URL对应不上,即它的路由配置。即使有些文件就在这个目录下依然无法访问。(明明上传了文件到这个目录下面但是访问不到的情况)但是这个网站的目录是存在的 网站搭建模式: 1、常规 子域名模式 www.xiaodi8.com zblog asp程序 xiaodi.xiaodi8.com wordpress php程序 bbs.xiaodi8.com 论坛 dz程序 oa.xiaodi8.com OA 通达oa 端口模式 www.xiaodi8.com zblog asp程序 www.xiaodi8.com:8080 wordpress php程序 目录模式(网站下面再放一个网站) www.xiaodi8.com zblog asp程序 www.xiaodi8.com/bbs 论坛 dz程序 2、Web其他-集成软件&Docker容器&分配站等 例如:cnblogs(申请后会分配给你一个域名) 这种网站一般都比自己搭建的网站更安全 3、Web拓展-CDN&WAF&OSS&静态&负载均衡等 自己搭建网站1、添加网站
2、下载源码
3、解压到网站目录下面
这种情况就是开启身份验证
源码结构 数据库配置
站库分离(网站在x.x.x1;数据库在x.x.x.2)
oss:只做存储,没有源码。
为什么访问不同后缀文件就会有执行、下载、图片展示等情况
0、知道Web必备四大件作用 1、知道网站有哪些形式展示 2、知道源码和URL访问对应关系 3、知道源码有加密开源闭源类型 4、知道文件访问解析由什么决定 5、知道数据库存储数据站库分离 6、知道中间件配置影响后续手法 7、知道常规真实Web搭建解析流程 8、思考为什么要学习掌握这些东西 |
335
评论 1
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
