本文介绍了网络安全的基础知识,包括常见搭建平台脚本启用、域名IP目录解析的安全问题、文件后缀解析安全、安全测试中的防护措施、WEB后门与用户文件权限管理,以及基于中间件的识别案例。强调了权限设置和IP限制在防止非法访问中的重要性,并提供了一种通过中间件漏洞进行安全测试的方法。
一、常见搭建平台脚本启用
ASP、PHP、ASPX、SP、PY、JAVAWEB等环境
二、域名IP目录解析安全问题
IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。
三、常见文件后缀解析对应安全
指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。
四、常见安全测试中的安全防护
1、学校内网和企业内外会出现。会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。
2、身份验证和访问控制,基于用户的限制
3、限制IP地址的访问,授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问
注:在windows的权限中,在有允许的情况下点拒绝,拒绝最大!
五、WEB后门与用户及文件权限
文件夹设置相关权限,禁止来宾用户的权限,导致连接的后门看不到任何东西,它属于防护技巧,同时也是安全测试里经常碰到的问题
设置了执行权限,没有执行权限,文件不给执行,代码就无法正常执行,后门就无法正常使用
绕过思路:将后门试着放在其他可以执行的目录。比如有脚本存放的目录下面。
注:后门不能放在根目录,如果将后门放在根目录则无法执行。
六、演示案例
1、基于中间件的简要识别
通过抓取数据包的返回结果,查询搭建平台信息
作用:可以利用中间件的漏洞
参考链接:https://blog.csdn.net/qq_40907977/article/details/107999314
扫一扫
1246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
