3.搭建安全拓展

最新推荐文章于 2022-05-08 00:38:27 发布
最新推荐文章于 2022-05-08 00:38:27 发布
阅读量174 收藏
点赞数 1
分类专栏: 小迪安全培训视频笔记 安全笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/118891261
版权

文章目录

涉及知识:

  • 常见搭建平台脚本启用
  • 域名 IP 目录解析安全问题
  • 常见文件后缀解析对应安全
  • 常见安全测试中的安全防护
  • WEB 后门与用户及文件权限

安全问题

ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境

WEB 源码中敏感文件 后台路径,数据库配置文件,备份文件等

IP 或域名解析 WEB 源码目录对应下的存在的安全问题 域名访问,IP 访问(结合类似备份文件目录)

脚本后缀对应解析(其他格式可相同-上传安全)
存在下载或为解析问题

常见防护中的 IP 验证,域名验证等

后门是否给予执行权限
后门是否给予操作目录或文件权限
后门是否给予其他用户权限

总结下关于可能会存在的安全或防护问题?

实战演示

搭建IIS

web服务拓展中可以启用asp asps php等服务

属性-ip-端口,就可以通过ip访问该网站

主机头值:表示域名值

修改本地host,可以达到在本地访问域名来完成访问本地搭建的网站

有些网站在搭建时,域名解析可以解析到具体的文件夹下面,ip地址直接访问根目录。在实战中,扫描IP地址会扫描更多的信息(www.zip 备份文件)

文件后缀解析

isapi拓展

可以自己设置后缀文件解析格式,上传后门

cdx、cer和asp的解析格式一样,asp木马上传不上去,可以试试cdx、cer

常见防护

目录安全性:身份验证、ip限制、安全通信

身份验证、匿名访问

若不开启匿名访问,需要输入账号密码进入

ip和域名限制

限制ip访问
可以设置黑名单或者白名单

web后门

网站权限为iis来宾用户(匿名访问用户)
把网站路径文件夹的iis来宾用户权限拒绝后,菜刀木马链接不到该网站

写入失败时,要考虑是不是写入权限被限制

读取和运行

执行权限:无、脚本、脚本和可执行文件

绕过思路:将后门放到其他目录里面,脚本根目录或者其他可执行脚本的目录

中间件的识别

通过抓取返回数据包,返回头部,即可判断出中间件服务

中间件的安全漏洞

百度

中间件常见漏洞pdf

工具

中间件靶场

vulhub

vulhub和vulnhub
vulhub是单个漏洞库

vulhub.org

sec0nd_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020小迪安全第三天笔记-搭建安全拓展
weixin_51566416的博客
12-02 1002
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili 通过IIS(提供网站服务)搭建网站 首先打开windows2003虚拟机,进入IIS管理 开启“Active Server Pages”开启ASP 支持的脚本组件 Ip地址配置 “主机头值”表域名 但是这个域名并没有进行申请,只是用于测试,所以平时解析会解析到外网上。 要用讲域名指向本地地址,可在本地“host”文件上进行修改 注意:域
网安自学笔记——搭建安全拓展
qq_44456233的博客
09-23 138
一、常见的搭建平台脚本启用 1、#ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境。 注:脚本简单地说就是一条条的文字命令,这些文字命令是可以看到的,脚本程序在执行时,是由系统的一个解释器,将其一条条的翻译成机器可识别的指令,并按程序顺序执行,因为脚本在执行时多了一道翻译的过程,所以它比二进制程序执行效率要稍低一些。 二、域名和ip目录解析安全问题(难点) 1、域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分; 2、IP扫描可以直接扫描出来服务器的根目录,得到的信息
第03天:基础入门-搭建安全拓展
weixin_43909650的博客
02-10 1792
第03天:基础入门-搭建安全拓展 域名IP目录解析安全问题 视频中的图: 本人实验图: 常见文件后缀解析对应安全 常见安全测试中的安全防护 WEB后门与用户及文件权限 演示案例: 基于中间件的简要识别 基于中间件的靶场使用 涉及资源: https://www.vulhub.org/
03基础入门:搭建安全拓展
qq_52718293的博客
03-08 343
1.域名IP目录解析安全问题 域名解析访问的是目录,ip访问的是域名解析目录的上级目录,它能扫到更多信息。 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。 2.文件后缀 ...
WEB安全_基础入门_搭建安全拓展 常见搭建平台(中间件)脚本启用
erfan_lang的博客
08-11 659
目录常见搭建平台(中间件)脚本启用一、常见搭建平台脚本启用二、域名IP目录解析安全问题三、常见文件后缀解析对应安全四、常见安全测试中的安全防护1.网和企业内网会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。2.身份验证和访问控制,基于用户的限制3.限制IP地址的访问,授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问五、WEB源码中敏感文件后台路径配置文件备份文件六、web后门与用户及文件权限七、基于中间件的简要识别八、基于中间件的安全漏洞 常见搭建平台(中间件)脚本启用
第03天:基础入门-搭建安全拓展1
08-03
"第03天:基础入门-搭建安全拓展1"这个主题主要关注的是在建立和扩展网络基础设施时如何确保安全性。以下是一些关键知识点的详细解释: 1. **常见搭建平台脚本启用**: 在搭建网站时,我们通常会使用各种编程语言...
互融云贷款报单平台搭建灵活配置,高度拓展共2页.pdf.z
11-20
3. **业务流程自动化**:平台支持全程自动化处理贷款申请,包括信息采集、信用评估、审批决策、合同签订等环节,大大减少了人工操作,提升了效率。同时,自动化流程有助于减少错误,提高贷款审批的准确性。 4. **...
Oracle 单实例DG搭建详解.pdf
09-13
Oracle 单实例 DG 搭建详解是一份详细的实施方案,涵盖了 Oracle Data Guard 环境拓展、主数据库配置、备数据库配置、DG 同步、DG 切换与恢复等方面的知识点,旨在帮助实施人员根据当前业务特点,规划、建设符合高...
Web安全渗透测试基础入门篇视频.rar
08-13
WEB安全架构分析及思路拓展wmv Web安全渗透测试基础入门篇001ppt WEB爆破口令工具实现原理解析.wmv WEB各个架构信息探针补充Wmv WEB各个架构信息探针实战wmv WEB目录文件扫描工具实现原理解析.wmv WEB伪造数据包进行...
电子商务平台搭建计划书.docx
09-14
项目目标:本项目的目标是搭建一个高效、稳定、安全、易用、个性化的电子商务平台,实现以下目标:提高企业销售效率和品牌知名度,优化消费者购物体验,提升客户满意度,降低企业运营成本,提高盈利能力。...
渗透测试-基础入门-搭建安全拓展_3
weixin_51446936的博客
06-26 336
一、常见搭建平台脚本启用 ASP,PHP,SPX,JSP,PY,JAVAWEB等环境 平台:IIS为例 二、域名IP目录解析安全问题 IP地址扫描可以扫到更多内容,可能是程序源码备份文件和敏感信息,扫域名只能发现一个文件夹下的所有文件 IP访问在域名访问的上一级,会扫描到更多,源码备份,打包文件 三、常见文件后缀解析对应安全 存在下载或为解析问题 四、常见安全测试中的安全防护 是否匿名访问:基于用户的限制 是否使用IP和域名访问:设置拒绝访问的IP(白名单、黑名单设置) 五、WEB后门与用户及文
第三天:基础入门:搭建安全扩展
weixin_45838262的博客
04-03 151
涉及知识 常见搭建平台脚本启用 域名 对应文件夹 IP 对应根目录 目录解析安全问题 常见文件后缀解析对应安全 eg:iis的isapi扩展(应用程序扩展) 常见安全测试中的安全防护 身份验证(计算机用户:匿名访问(来宾用户)) 地址访问,域名访问(限制特定ip域名访问) 黑名单白名单 web后门与用户及文件权限 用户权限(来宾用户等) 文件执行权限 一般针对图片文件夹(没有要执行的脚本) 演示案例 中间件识别:通过数据包返回结果 header -》server 中间件安全漏洞 web中间件常见漏洞总结 中
【小迪安全学习笔记】基础入门-搭建安全拓展
Akrios的博客
05-13 1039
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。 常见文件后缀解析对应安全 指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。 常见安全测试中的安全防护 学校内
第3天:基础入门~搭建安全拓展
廖一语山的博客
08-18 357
目录涉及知识:常见搭建平台脚本启用域名、IP目录解析安全问题常见文件后缀对应安全常见安全测试中的安全防护Web后门与用户及文件权限 涉及知识: 常见搭建平台脚本启用 域名、IP目录解析安全问题 常见文件后缀对应安全 常见安全测试中的安全防护 Web后门与用户及文件权限 #ASP,PHP,ASPX,JSP,PY,JAVAWEB 等环境 #WEB 源码中敏感文件 后台路径,数据库配置文件,备份文件等 #IP 或域名解析 WEB 源码目录对应下的存在的安全问题 域名访问,IP 访问(结合类似备份文件目录) #脚
数据投毒攻防对抗技术-1.数据投毒简介
博客地址 www.sec0nd.top
05-08 5428
文章目录前言课程简介大数据和机器学习大数据机器学习大数据和机器学习结合大数据和机器学习潜在的安全威胁数据分析流程机器学习流程及安全威胁数据投毒什么是数据投毒攻击什么是数据可用性影响数据可用性的原因数据投毒攻击的要素攻击场景封闭域开放域开放域数据投毒攻击和防御攻击对象攻击所需要的知识攻击效果数据投毒防御的困难性 前言 本门课程为本科生数据投毒入门课程,笔记也多来自老师课件,不涉及太多高级知识。如对数据安全有兴趣,欢迎报考方班李默涵老师的研究生。 课程简介 在大数据与人工智能技术井喷式爆发的当下,数据已成为国家
web入门 爆破
博客地址 www.sec0nd.top
03-12 4271
文章目录 web21 web22 web23 web24 web25 web26 web27 web28
1.概念名词
博客地址 www.sec0nd.top
07-16 252
域名 什么是域名? 域名在哪里注册? 万网、阿里 什么是二级域名多级域名? abc.xxx.com abc 为二级域名 域名发现对于安全测试意义? 对主站进行安全检测时,主站找不到漏洞可以去多级域名下面去找 DNS 什么是DNS? 域名系统服务协议 用于域名与IP地址的相互转换 多级域名解析生效时间为DNS的时间 本地 HOSTS 与 DNS 的关系? 重定向解析 可以实施钓鱼攻击 游戏加速器,一般会修改本地hosts,已达到快速下载的目的 CDN是什么?与DNS的关系? 缓存结点技术,使得在各地访问都能
CTF古典密码:移位密码
博客地址 www.sec0nd.top
02-22 3851
CTF古典密码:移位密码 前言 密码和编码都是加密,但是有着本质区别:那个密码比编码多一个密钥(key)。这里的密码,不是指平常用来登陆奇安信的密码,而是指加密字符串。我们将数据(明文)通过一定规则(秘钥)进行打乱混编(加密)得到字符串(密文),这就是密码的基本流程。密码学中,一般将明文用m表示,将密文用c表示,将秘钥k表示。 移位密码是最简单的密码形式之一,也是最容易理解的密码形式。上述加密基本流程就是针对这种密码形式的最大白话的描述。 简单例子 这里有一个明文“qianxinshequ”,有一个秘钥“4
flask工具书-搭建一个简单Web应用
最新发布
09-29
3. **GET/POST传递信息**:深入理解这两种请求方法的差异和使用场景,是Web开发的基础。 - **3.1 GET**:GET请求通常用于获取资源,请求参数显示在URL中,对数据量有限制,不安全但可缓存。 - **3.2 POST**:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值