常见搭建平台脚本启用
常见平台java Python php jsp搭建要启用脚本
中间件(搭建平台):Apache IIS Tomcat Nginx
主机头值 即 域名
域名IP目录解析安全问题
域名扫描只能扫描出来域名文件,而域名文件只是占服务器资源的一小部分;IP扫描可以直接扫描出来服务器的根目录,得到的信息更多
扫描域名和IP时对应的目录很可能不同
用IP地址访问一般访问到的目录会在网站域名的上一级
因为一般网站搭建时,IP可以访问根目录下的所有文件,域名时访问根目录下的指定文件目录
所以 用IP扫描时,可能会扫描到更多敏感信息
常见文件后缀解析对应安全
不同扩展名对应的解析脚本文件可能是一样的
当出现不常见的扩展名,可能是服务商自己在中间件上添加了应用程序扩展的解析,容易导致解析失败
常见安全测试中的安全防护
目录安全性:
- 身份验证和访问控制:
启用匿名访问,若不选中,则不支持匿名访问,必须登录访问 - IP地址和域名限制(最常见
可以设置IP/域名访问黑名单、白名单 - 安全通信 关于网站证书方面的
WEB后门与用户及文件权限
设置来宾用户/匿名用户的权限,可以一定程度防范后门威胁
如果在渗透操作时无法新建/写入文件,很可能是没有权限的原因
当设置 主目录–> 执行权限:无 = 没有执行权限,无法运行后门文件
不能直接把网站的根目录执行权限设为无,因为网站本身也有自己正常的脚本要运行
一般网站会把图片目录的执行权限设为无
此时绕过思路就是 换目录,找到其他有网站正常脚本执行的目录,将后门文件放至该目录文件中
WEB 源码中敏感文件
后台路径,数据库配置文件,备份文件等
基于中间件的简要识别
原文地址:http://www.cnblogs.com/mario24678/p/16791086.html
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请务用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员!
8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载
声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性
