小迪安全学习笔记--第3天：基础概念---搭建安全拓展

最新推荐文章于 2023-08-03 16:57:03 发布

铁锤2号

最新推荐文章于 2023-08-03 16:57:03 发布

阅读量386

点赞数

分类专栏： web安全自学笔记文章标签：安全

本文链接：https://blog.csdn.net/zr1213159840/article/details/120730711

版权

web安全自学笔记专栏收录该内容

45 篇文章 31 订阅

订阅专栏

课程链接

B站小迪安全课程

基础入门-搭建安全拓展

涉及知识

常见搭建平台脚本启用
域名IP目录解析安全问题
常见文件后缀解析对应安全
常见安全测试中的安全防护
web后门与用户及文件权限

搭建平台脚本启用

视频中使用的是2003的iis6.0

域名IP目录解析安全问题

使用ip和地址去访问相同的路径可能存在不同的情况。ip地址的层级高于地址，使用ip地址进行访问一般获取的信息会更多。

常见文件后缀解析对应的安全

对于.asp的网站，可以使用.cpx等的结尾。文件上传漏洞中可能会存在这种问题。

常见安全测试中的安全防护

基于账户名密码的安全访问，基于IP的安全访问

web后门与用户及文件权限

后门对文件的操作必须要有相应的操作权限才可以。

演示案例

基于中间件的简要识别

一般在浏览器的返回的信息中就能看出来是什么中间件

基于中间件的安全漏洞

见补充

基于中间件的靶场漏洞

https://vulhub.org/ 可以下载本地搭建

补充：web中间件常用漏洞手册

https://pan.baidu.com/s/1Qm1KcVovMI-nGxt_vCjYkQ

web中间件常见漏洞总结

https://vulhub.org/

常用的工具

https://github.com/Wh0ale/SRC-script

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

铁锤2号

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

2020小迪安全第三天笔记-搭建安全拓展

weixin_51566416的博客

12-02

1048

笔记来源视频：【小迪安全】web安全｜渗透测试｜网络安全（6个月线上培训全套）_哔哩哔哩_bilibili 通过IIS（提供网站服务）搭建网站首先打开windows2003虚拟机，进入IIS管理开启“Active Server Pages”开启ASP 支持的脚本组件 Ip地址配置 “主机头值”表域名但是这个域名并没有进行申请，只是用于测试，所以平时解析会解析到外网上。要用讲域名指向本地地址，可在本地“host”文件上进行修改注意：域

B站小迪安全视频笔记-第一天

m0_61530426的博客

07-07

1793

小迪安全课程笔记

参与评论您还未登录，请先登录后发表或查看评论

B站小迪安全笔记第三天-搭建安全拓展

m0_61530426的博客

07-09

560

B站小迪安全笔记

2021-09-06

qq_2604939074的博客

09-06

360

基础入门-数据包拓展 HTTP/HTTPS 具体区别？（Https更加安全） Request 请求数据包数据格式 1.请求行：请求类型/请求资源路径、协议的版本和类型 2.请求头：一些键值对，浏览器与web 服务器之间都可以发送，特定的某种含义 3.空行：请求头与请求体之间用一个空行隔开； 4.请求体：要发送的数据(一般post 提交会使用)；例：user=123&pass=123 请求行：请求行由三个标记组成：请求方法、请求URL 和HTTP 版本，它们用空格分享。例如：GET /in

2021小迪web安全笔记全套.zip

08-16

【小迪安全】web安全｜渗透测试｜网络安全 | 学习笔记-4

youngerll的博客

12-30

3435

【小迪安全】web安全｜渗透测试｜网络安全 | 学习笔记-4

小迪安全学习笔记--第5天：基础入门---系统及数据库等

zr1213159840的博客

10-25

629

基础入门-系统及数据库等前言:除去前期讲到过的搭建平台中间件。网站源码外，容易受到攻击的还有操作系统，数据库，第三方软件平台等，其中此类攻击也能直接影响到WEB或服务器的安全，导致网站或服务器权限的获取。操作系统层面识别操作系统的常见方法有网站就网站可以识别，比如windows大小写不敏感，linux大小写敏感没有网站可以通过相关的软件进行识别，比如nmap，还可以通过ttl来进行判断 https://blog.csdn.net/woshiwumingshi1/article/details/5

web—2

niwad的博客

12-09

1565

2.基础入门——数据包拓展网站解析对应攻击层面？源码，搭建平台，系统，网络层等安全问题？目录，敏感文件，弱口令，IP以及域名 HTTP/S—数据包 • https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。 • http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。 • http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。 • http的连接很简单，是无状态的；HTTPS协议是由SSL

【小迪安全学习笔记】基础入门-概念名词

Akrios的博客

05-06

1381

域名什么是域名？地址的名称称为域名，例：www.baidu.com 域名在哪里注册？第三方网址注册，例：万网(www.net.cn) 什么是二级域名、多级域名？从右到左：根域名、顶级域名、二级域名、三级域名 news.baidu.com、shehui.news.baidu.com 域名发现对于安全测试意义？当主站域名无法找到漏洞的时候，从多级域名寻找突破口 DNS 什么是DNS？域名系统服务协议，主要用于域名与IP地址的相互转换本地Hosts与DNS的关系？重定向IP地址，网站在解析IP地址

代码审计“小迪安全课堂笔记” java

weixin_42902126的博客

06-07

1281

1：根据程序架构以及业务逻辑，通过数据流向的每一个换节来审计漏洞获取参数–>表现层–>业务层–>持久层，需要通读源码缺点：耗费时间 2：通过查找和判断敏感函数上下文，追踪参数源头，审计是否存在漏洞缺点：覆盖不了逻辑漏洞，不了解程序基本框架参考链接：https://www.cnblogs.com/kingsonfu/p/12419817.html 安装完成后 IDEA 下方会有这个，点开就行安全问题的报告显示在这里安装和使用参考：https://blog.csdn.net/qq_41648820/

小迪安全笔记，详细版本

热门推荐

m0_74169008的博客

06-07

2万+

凡是存在文件上传的地方均有可能存在文件上传漏洞，有文件上传就可以测试漏洞；指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。文件上传漏洞的时候看对方的代码是否写的比较完整、安全，疏忽了验证就会造成文件上传漏洞；有文件上传的功能就可以去测试；

小迪安全课程笔记--01基础入门

weixin_44576725的博客

10-18

1619

一、web源码拓展 1、各类型文件的存放位置数据库配置文件一般放在include、config或者data文件夹下后台目录即管理员目录一般在admin文件夹下模板目录一般在template文件夹下 2、在线CMS指纹识别 CMS是"Content Management System"的缩写，意为"内容管理系统" Web指纹扫描用于识别目标所运行的web软件、后端服务器、编程语言等特征，实现对目标的web应用的准确标识，包括应用名称（版本）、服务器软件（版本）、编程语言（版本）、应用框架（版

小迪渗透&基础入门（壹）

weixin_41665162的博客

09-03

1603

文章目录基础入门（P1-P5）1. 概念名词1.1 域名1.2 DNS1.3 脚本语言1.4 后门1.5 WEB1.6 WEB 相关安全漏洞2. 数据包扩展2.1 https&http2.2 Request 请求数据包数据格式2.3 Response 返回数据包数据格式3. 搭建安全拓展3.1 网站搭建环境3.2 基于中间件的简要识别![在这里插入图片描述](https://img-blog.csdnimg.cn/20210421101159327.png?x-oss-process=image/w

web渗透-------基础入门

hhhjjjllll的博客

04-25

1536

本意是指一座建筑背面开设的门，通常比较隐蔽，为进出建筑的人提供方便和隐蔽。在信息安全领域，

小迪安全学习笔记8~10天

qq_62023614的博客

08-03

1081

在安全测试中，信息收集是非常重要的一个环节，此环节的信息将影响到后续的成功几率，掌握信息的多少将决定发现漏洞机会大小，换言之决定着是否能完成目标的测试任务。在安全测试中，若WEB无法取得进展或无WEB的情况下，我们需要借助APP或其他资产在进行信息收集，从而开展后续渗透，那么其中的信息收集尤为重要。

WEB安全_基础入门_搭建安全拓展常见搭建平台（中间件）脚本启用

erfan_lang的博客

08-11

685

目录常见搭建平台（中间件）脚本启用一、常见搭建平台脚本启用二、域名IP目录解析安全问题三、常见文件后缀解析对应安全四、常见安全测试中的安全防护1.网和企业内网会限制外部人员访问内部的网站，限制IP地址，规范访问者的权限。2.身份验证和访问控制，基于用户的限制3.限制IP地址的访问，授权访问-只允许指定IP地址可以访问。拒绝访问-指定IP地址拒绝访问五、WEB源码中敏感文件后台路径配置文件备份文件六、web后门与用户及文件权限七、基于中间件的简要识别八、基于中间件的安全漏洞常见搭建平台（中间件）脚本启用

p3_第03天：基础入门-搭建安全扩展

HaHa的博客

10-30

385

小迪安全笔记p3