一、 常规web应用搭建
- 购买云服务器,购买域名参考
- 云服务器搭建中间件
-
服务器管理器–>添加角色和功能
-
开始之前(直接下一步)
-
安装类型;选择基于角色或基于功能安装,点击下一页
-
服务器选择,默认选择的服务器就行
-
选择服务器角色,选择web服务器IIS
-
功能
-
功能
-
web服务器角色IIS,直接下一页
-
选择角色服务,默认,点击下一页
-
确认安装所选内容,点击安装
-
安装完成
-
检查,使用回环地址127.0.0.1进行测试
- 下载并上传源码
- Z-blog官网
- 下载后拖到云服务器上
- 添加网站并绑定域名目录
- 添加网站
- 右击网站,选择添加网站,物理路径选择源码路径,ip地址选择默认就可,主机名即为自己解析配置的域名,选择完成后,点击确定
二、搭建
- 子域名模式
- www.xiaozhao.com zbolg asp程序
- xiaozhao.xiaozhao.com wordpress php程序
不同的子域名可能对应着不同的网站
- 端口号
- www.xiaozhao.com zbolg asp程序
- www.xiaozhao.com:8080 wordpress php程序
不同的端口号对应不同网站
- 目录模式
- www.xiaozhao.com/ zbolg asp程序
- www.xiaozhao.com/bbs zbolg asp程序
目录不同,网站不同
三、web程序源码
- 开源
可免费获取的
应用点:博客记录生活
- 开源:源码可见
- 开源:源码不可见
- 加密
可以使用加密工具,将源码加密,不会影响原本功能,但是源码会变成乱码格式 - 语言特性决定
例如java,会被编译成.class文件 - 源码可见的话就可以进行白盒测试,在代码中分析漏洞
- 加密
- 商业
闭源的,源码需要购买
应用点:开网校 - 自写
应用点:大型网络公司
四、中间件(配置受限)
- 目录权限
通过设置目录权限,可以防止一些后门的植入,权限的设置,会导致后门无法执行从而导致失效,但是并不是所有目录全部适用,如果所有目录全部设置目录执行权限,则该网站根本无法执行。 - 身份验证
启用身份验证后,再次登录网站需要输入用户名密码进行身份验证后才能进行访问 - 解析规则
MIME类型中决定后缀名的文件以什么方式进行解析
五、数据库
- 本地一致
源码和数据库在一台服务器
如果拿到数据库权限,则本地的数据几乎都可以拿到 - 站库分离
- 网站与数据库不在同一服务器
数据库特性决定,即使拿到数据库权限,也不一定可以拿到所有数据 - 云数据库应用
更安全,登录方式发生改变,而且还有安全组
六、结构组成
拿到源码后,要根据目录名称分析结构
- admin 可能是后台管理
- bin 执行程序
- database 数据库相关
- js 前台执行脚本
- template 模版
- upfiles 上传文件相关
- webservice web服务
七、路由访问
- 相对路径
从网站绑定目录开始往下寻找 - 绝对路径
从根目录开始访问 - 路由访问
有些网站源码无法使用常规访问,配置路由访问,比如java的webInf