xd p3 搭建安全扩展
2024-10-22 07:33:00
常见搭建平台脚本启用
常见平台java Python php jsp搭建要启用脚本
中间件(搭建平台):Apache IIS Tomcat Nginx
主机头值 即 域名
域名IP目录解析安全问题
域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分;IP扫描可以直接扫描出来服务器的根目录,得到的信息更多
扫描域名和IP时对应的目录很可能不同
用IP地址访问一般访问到的目录会在网站域名的上一级
因为一般网站搭建时,IP可以访问根目录下的所有文件,域名时访问根目录下的指定文件目录
所以 用IP扫描时,可能会扫描到更多敏感信息
常见文件后缀解析对应安全
不同扩展名对应的解析脚本文件可能是一样的
当出现不常见的扩展名,可能是服务商自己在中间件上添加了应用程序扩展的解析,容易导致解析失败
常见安全测试中的安全防护
目录安全性:
- 身份验证和访问控制:
启用匿名访问,若不选中,则不支持匿名访问,必须登录访问 - IP地址和域名限制(最常见
可以设置IP/域名访问黑名单、白名单 - 安全通信 关于网站证书方面的
WEB后门与用户及文件权限
设置来宾用户/匿名用户的权限,可以一定程度防范后门威胁
如果在渗透操作时无法新建/写入文件,很可能是没有权限的原因
当设置 主目录--> 执行权限:无 = 没有执行权限,无法运行后门文件
不能直接把网站的根目录执行权限设为无,因为网站本身也有自己正常的脚本要运行
一般网站会把图片目录的执行权限设为无
此时绕过思路就是 换目录,找到其他有网站正常脚本执行的目录,将后门文件放至该目录文件中
WEB 源码中敏感文件
后台路径,数据库配置文件,备份文件等
基于中间件的简要识别
最新文章
- java泛型基础
- nginx-nginx脚本
- 使用adagio包解决背包问题
- 即使用ADO.NET,也要轻量级动态生成更新SQL,比Ormlite性能更高
- 常用CSS样式
- Windows消息机制详解
- js对象私有变量公有变量问题
- poj 1182:食物链(种类并查集,食物链问题)
- 洛谷 P1546 最短网络 Agri-Net Label:Water最小生成树
- ntpdate公司测试
- iOS - Swift Set		集合
- MyEclipse下直接查看class文件 jadnt158下载
- 显示MYSQL数据库信息
- mysql常用命令大全 mysql常用命令总结
- @Transactional详解
- 海量jQuery插件
- 流的概念(来自MSDN)
- 说一说高级男装面料_SuMisura_新浪博客
- 多云时代,海外微软Azure云与国内阿里云专线打通性能测试
- netstat、ps、top 、kill 命令备忘