思维导图
知识点:
- 1、Web常规-系统&中间件&数据库&源码等
- 2、Web其他-集成软件&Docker容器&分配站等
分配站–大域名分配给用户的 免费或收费的网站 (网校系统…)
集成软件—宝塔BT… - 3、Web拓展-CDN&WAF&OSS&静态&负载均衡等
OSS对象存储—文件上传漏洞失效
章节点
- 应用架构:Web/APP/云应用/三方服务/负载均衡等
- 安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等
- 渗透命令:文件上传下载/端口服务/Shell反弹等
- 抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等
- 算法加密:数据编码/密码算法/密码保护/反编译/加壳等
常规的Web应用搭建:
- 1、购买云服务器,购买域名
- 2、云服务器去搭建中间件
- 3、下载并上传Web程序源码
- 4、添加网站并绑定域名目录
总结
0、知道Web必备四大件作用
系统、中间件、数据库、源码1、知道网站有哪些形式展示
子域名模式:
www.xiaodi8.com –zblog asp程序
xiaodi.xiaodi8.com –wordpress php程序
bbs.xiaodi8.com –论坛 dz程序
oa.xiaodi8.com –OA 通达OA
端口模式:
www.xiaodi8.com –zblog asp程序
www.xiaodi8.com:8080 –wordpress php程序
目录模式:
http://www.xiaosedi123.fun/ –zblog asp程序
http://www.xiaosedi123.fun/bbs –论坛 dz程序
其他:
集成软件 Docker容器 分配站等2、知道源码和URL访问对应关系
3、知道源码有加密开源闭源类型
Web程序源码:(源码是否能拿到手)
开源—-商业—-自写
开源—源码可见/源码不可见(加密/语言特性决定)
可见–白盒测试-代码审计
路由访问—mvc源码 Java python(有些目录存在但里面文件访问不到)–URL和文件目录对应不上 要根据配饰路由决定
常规访问—URL和文件目录对应上–根据网站目录访问对应文件4、知道文件访问解析由什么决定
媒体类型(通常称为 Multipurpose Internet Mail Extensions 或 MIME 类型)是一种标准,用来表示文档、文件或字节流的性质和格式,通过该规则我们能够根据文件的后缀来解析指定的文件格式,某些网站会存在解析漏洞,我们可以将木马文件上传后,通过修改解析规则来执行木马—-注意权限5、知道数据库存储数据站库分离
本地存储–网站和数据库在同一个服务器
站库分离–网站和数据库不在同一个服务器
云数据库–网站文件不存储在本地,而是在OSS中6、知道中间件配置影响后续手法
一次web访问的顺序,web浏览器->web服务器(狭义)->web容器->应用服务器->数据库服务器
详情可以参考:知乎-平台安全之中间件安全7、知道常规真实Web搭建解析流程
8、思考为什么要学习掌握这些东西