01基础入门---Web应用&架构搭建&站库分离&路由访问&配置受限&DNS解析

已于 2024-07-20 12:14:56 修改
阅读量1 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络
于 2023-10-08 16:48:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52973401/article/details/133683304
版权

 Web常规-系统&中间件&数据库&源码

 常规web应用搭建

目录站

子域名站

端口站

其他站

常规web应用中间件

配置-身份验证

配置-目录权限

配置-解析规则

常规web应用数据库

本地数据库

站库分离

云数据库

常规web应用程序源码

源码类型

结构组成

路由访问

知识点归纳

 Web常规-系统&中间件&数据库&源码

 常规web应用搭建

1、购买云服务器,购买域名

2、云服务器去搭建中间件

3、下载并上传Web程序源码

4、添加网站并绑定域名目录

目录站

访问不同的目录出现的网站不一样

子域名站

端口站

不同的端口出现不同的网站

其他站

集成软件

Docker容器

分配站举例:博客站的每个用户都会分配一个网站供自己使用,QQ空间也是这种模式,此类网站安全性更好,更难突破

常规web应用中间件

Web服务器:IIS、Apache、Nginx、Tomcat、Jboss、Jetty、Weblogic、Webshere、Glasshfish、Lighttpd等

Web中间件:Tomcat、Jboss、Jetty、Weblogic、Webshere、Glasshfish等

Web容器:IIS(asp容器)、Tomcat(servlet容器)、Jboss(EJB容器)

所以应该是 Web服务器>Web中间件>Web容器。

配置-身份验证

启用windows身份认证,外来人员需要输入账号密码

配置-目录权限

选择拒绝后,后门地址访问失败(无权限),一般锁图片目录(图片目录不用进行读取,执行)

配置-解析规则

媒体类型(通常称为 Multipurpose Internet Mail Extensions 或 MIME 类型)是一种标准,用来表示文档、文件或字节流的性质和格式,通过该规则我们能够根据文件的后缀来解析指定的文件格式,某些网站会存在解析漏洞,我们可以将木马文件上传后,通过修改解析规则来执行木马。

常规web应用数据库

数据库是结构化信息或数据的有序集合,一般以电子形式存储在计算机系统中。通常由数据库管理系统 (DBMS) 来控制。在现实中,数据、DBMS 及关联应用一起被称为数据库系统,通常简称为数据库

简单来说,我们打开某个网站,该网站的文章、动态、配置、我们的用户名和密码都是存储在数据库中

本地数据库

网站和数据库存储在同一个服务器中,如果数据库放在本地,那么拿到了网站的数据,一般也能拿到数据库的数据

站库分离

网站和数据库不在同一个服务器中,网站访问数据库通过远程连接等方式,比如网站存储在A服务器,数据库存储在B服务器,每次客户请求数据时,A服务器从B服务器获取内容,如果是站库分离的网站,拿到了网站的数据,也不一定能拿到数据库

云数据库

云数据库是近几年兴起的一个产品,简单来说就是把数据库存储在云端上,常见的有阿里云数据库和腾讯云数据库,相比传统的服务器,云安全系数更高,登录方式和安全组等安全配置更加复杂。还包含在线统计和分析等特色功能,同云数据库相似的还有OSS,网站文件不在存储在本地,而是存储在OSS中,OSS只做存储使用,不会执行我们上传的后门

常规web应用程序源码

源码类型

开源

源码可见,比如GitHub和Gitee中公开的项目大多是源码不可见的。白盒测试


源码不可见,,比如GitHub和Gitee中开源的付费项目项目大多是源码不可见的,有的是通过代码加密来实现,也有的是语言特性决定的,比如java编译好的都是class文件,打开都是字节码(可以通过反编译来还原代码)

商业

自用

结构组成

不同类型的网站的各种文件目录是有规律的,我们在攻防某个网站的时候,即使没有获取到该网站的目录,也可以通过该网站的类型来判断常见目录,比如WordPress类型的网站一般把主题存在/wp-content/themes/中

  • 数据库目录
  • 后台目录
  • 文件目录

路由访问

路由访问常规: URL和文件目录对应上

路由访问: mvc源码java pythonURL和文件目录对应不上 要根据配置路由决定

访问一般有两种方式,普通的常规访问路由访问,有些网站项目无法通过路径访问,比如java的web-inf文件,URL和文件目录对应不上,这种的需要配置路由才能访问某个网站

路径又分为相对路径和绝对路径,简单来说绝对路径就是某个文件的完整路径,相对路径就是该文件相当于当前位置的路径,我们在日常攻防网站中如果无法获取到绝对路径,就可以通过绝对路径来获取文件

 常规访问

知识点归纳

0、知道Web必备四大件作用        系统&中间件&数据库&源码等

中间件作用

身份验证:每次访问重要目录就进行登录验证,未授权则401、账户密码正确即可访问。

目录权限:控制目录、文件的权限(读取、写入、执行)。控制执行权限,只允许读取等。

解析规则:配置中的MIME类型决定(img、pdf、 jsp等)

1、知道网站有哪些形式展示        cms:zblog 、wordpress

2、知道源码和URL访问对应关系         

常规访问:目录对应关系,直接访问即可

路由访问:绝对路径/相对路径(mvc源码 java python)

特征:网站文件目录和url对应不上(要根据配置路由决定)

3、知道源码有加密开源闭源类型 

4、知道文件访问解析由什么决定         MIME 类型

5、知道数据库存储数据站库分离 

6、知道中间件配置影响后续手法  

7、知道常规真实Web搭建解析流程 

8、思考为什么要学习掌握这些东西 

啦啦嘿呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIA-Routing & Switching V2.5入门培训教材.PDF
09-30
《HCIA-Routing & Switching V2.5入门培训教材》是华为官方发布的一本针对HCIA(Huawei Certified ICT Professional - Routing & Switching)认证的入门教程,旨在帮助学习者掌握网络基础路由与交换技术的核心知识...
HCIE-R&S_华为认证网络专家培训-路由与交换教材
12-28
HCIE-R&S_华为认证网络专家培训-路由与交换教材HCIE-R&S_华为认证网络专家培训-路由与交换教材
第1天:基础入门-Web应用&架构搭建&站库分离&路由访问&配置受限&DNS解析
IceCream的博客
03-30 1693
1.数据库配置文件,作用是存储数据的,后台的管理员账号密码也存储在数据库中,一般的access类型的数据库是没有账号密码的2.后台目录3.文件目录。
DAY1,基础入门-Web应用&架构搭建&站库分离&路由访问&配置受限&DNS解析
qq_57990018的博客
04-04 135
抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等。安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等。3、Web拓展-CDN&WAF&OSS&静态&负载均衡等。应用架构Web/APP/云应用/三方服务/负载均衡等。算法加密:数据编码/密码算法/密码保护/反编译/加壳等。1、Web常规-系统&中间件&数据库&源码等。7、知道常规真实Web搭建解析流程。2、知道源码和URL访问对应关系。3、知道源码有加密开源闭源类型。0、知道Web必备四大件作用。1、知道网站有哪些形式展示。
小迪安全2023年第1天培训笔记:Web应用架构搭建站库分离路由访问配置受限DNS解析
weixin_38832257的博客
03-07 4024
小迪安全2023年第1天培训笔记:Web应用架构搭建站库分离路由访问配置受限DNS解析
小迪安全培训2023期笔记汇总-持续更新
热门推荐
今天是几号的博客
03-03 1万+
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
HCIP-R&S(数通)PPT教材及实验手册V2.0.zip
03-15
HC120115000 OSPF基础.ppx HC120115001OSPF域路由.ppt HC1201150020SPF域间路由.pp HC120115003OsPF外部路由.ppt HC120115004OsPF特殊区域暴耳他特性Pp, HC120115005IS-S协原里与配置,中p山 HC120115006BGP功协V...
OnlineExamination.zip_BF-522在线_django在线考试_fffb&info_onlineexamin
07-13
Django的核心特性包括模型-视图-控制器(MVC)架构、ORM(对象关系映射)、内置的管理后台以及强大的URL路由系统,使得开发者能够高效地构建Web应用。 在BF-522在线考试系统中,Django起到了核心作用,负责处理后台...
HCIP-Routing_&_Switching_V2.5_官方教材+实验手册.rar
06-20
1. **配置实验**:通过模拟真实环境的配置任务,让学习者掌握设备的配置方法,如接口配置路由协议配置、VLAN和STP设置等。 2. **故障排查实验**:通过模拟网络问题,训练学习者如何诊断和解决网络故障,提升其在...
网络协议-SOTP 协议格式
最新发布
ziyunLLL的博客
07-19 367
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 365
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 821
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 988
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 895
计算机网络技术期末复习
CWPIN21的博客
07-17 1100
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
UDP协议
bushibrnxiaohaij的博客
07-17 1080
所以UDP在发送报文前只需要把把头的结构化字段填好,然后防止报文的前面就可以像服务器进行请求了,但是不管是服务器还是客服端,都一定存在大量的UDP报文,所以OS也一定要对这么多的报文进行管理,所以OS也会存在对报文描述的结构体,报文本质就是数据,所以就是一段缓冲区,所以描述报文的结构体里面一定会存在指针。UDP的报头非常简单,存在16位源端口和16为目的端口,16位UDP长度, 表示整个数据报(UDP首部+UDP数据)的最大长度,如果校验和出错, 就会直接丢弃。UDP协议是传输层的协议,是在应用层之下的。
深入理解Linux网络(一):内核如何接收网络
又见南风的博客
07-18 824
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
如何保护你的网络安全?
m0_70655343的博客
07-15 841
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值