常见的中间件都有哪些

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常见的中间件都有哪些相关的知识,希望对你有一定的参考价值。

常见的中间件有:我们经常管中间件叫做中间件服务器,也会叫作应用服务器。正常情况下一次web的访问顺序是:web浏览器---web服务器(W3的那个,非广义)---web容器---应用服务器---数据库服务器。
本地开发经常使用的应用服务器就是tomcat,linux系统经常使用的是jetty或apachehpptd,大型的项目就用的JBOSS或webloigc。
小项目,或者是个人开发tomcat大项目或者商业项目采用:weblgoic/webshere其他的还有jboss、glasshfish等,一些示例项目或者小项目常采用jetty。
Tomcat:是Sun的JSWDK(JavaServerWebDevelopmentKit)中Servlet的运行环境(servlet容器)。Tomcat是ApacheJakarta软件组织的一个子项目,Tomcat是一个JSP/Servlet容器,它是在SUN公司的JSWDK(JavaServerWebDevelopmentKit)基础上发展起来的一个JSP和Servlet规范的标准实现,使用Tomcat可以体验JSP和Servlet的最新规范。经过多年的发展,Tomcat不仅是JSP和Servlet规范的标准实现,而且具备了很多商业JavaServlet容器的特性,并被一些企业用于商业用途。
JBoss:是一个运行EJB的J2EE应用服务器。它是开放源代码的项目,遵循最新的J2EE规范。从JBoss项目开始至今,它已经从一个EJB容器发展成为一个基于的J2EE的一个web操作系统(operatingsystemforweb),它体现了J2EE规范中最新的技术
WebLogic服务器:是企业级的应用服务器,支持EJB,集群以及ERP(企业资源计划)的连通性,开发公司:BEA。
参考技术A

第一款:tomcat

tomcat是一款Java语言servlet标准化的服务器软件。适用于本地开发、小项目或个人开发,Apache为html页面服务,而tomcat实际操作JSP页面和servlet,但是tomcat处理静态html的能力不如Apache服务器。

特点:支持最新标准、更新快、跨平台、体积小安装部署方便。

第二款:weblogic

大型项目或商业项目,Java动态功能和Java
Enterprise在大型网络应用的开发、集成、部署和管理中,引入了标准的安全性bea公司生产的基础j2ee架构中间件。

特点:简化了可移植和可扩展应用系统的开发,为其他应用系统和系统提供了丰富的可操作性;商业软件功能齐全强大,主要用于大型企业的大型项目;是一种高扩展的架构体系。

第三款:jetty

jetty是使用Java语言编写,jetty运行速度快,轻量级,在Java中可以从test
case控制其运行。从而使自动化测试不再依赖外部环境,顺利实现自动化测试。

特点:易用、可扩展、易嵌入;快速高效。

第四款:JBoss

管理EJB容器和服务器,JBoss遵循商业友好LGPL授权分发,由开源社区开发。

特点:应用服务器也有许多优秀的特点;内存和硬盘空间相对较小;安装方便,解压后,只需配置一些环境变量即可;JBoss支持集群等。

护网行动面试题目汇总

一、常用的外围打点工具有哪些?

二、描述一下外围打点的基本流程?

三、怎么识别CND?

四、怎么判断靶标站点是windows系统还是Linux系统?

五、举常见的FOFA在外网打点过程中的查询语句?

六、常见的未授权访问漏洞有哪些?

七、文件上传功能的检测点有哪些?

八、常见的中间件有哪些,常见都有哪些相关漏洞?

九、介绍一下SQL注入种类?

十、Windows常用的命令有哪些?

十一、Linux常见的命令有哪些?

十二、在Windows靶标站点如何建立隐藏用户?

十三、正向shell和反向shell的区别是什么?

十四、连接不了MySQL数据库站点的原因有哪些?

十五、哪些漏洞经常被用于打点?

十六、常见的端口和渗透方式简单描述一下?


一、常用的外围打点工具有哪些?

名称

描述

水泽信息收集自动化工具
Masscan端口扫描工具
subDomainsBrute子域名收集工具
水泽信息手机自动化工具
FOFA网络空间资产检索
Goby攻击面测绘工具

二、描述一下外围打点的基本流程?

        五个步骤,分别是靶标确认信息收集漏洞探测利用漏洞获取权限,最终要得到的是获取靶标的系统权限进而获得关键数据。


三、怎么识别CND?

  • 使用ping命令看回显
  • 使用nslookup查询域名解析,看域名解析情况
  • 使用超级ping工具,像Tools,all-toll.cn等。

四、怎么判断靶标站点是windows系统还是Linux系统?

  • 通过ping靶机,看返回的TTL值,Windows大于100、Linux小于100的
  • 看大小写,Linux区别大小写,Windows则不分。

五、举常见的FOFA在外网打点过程中的查询语句?

  • 漏洞方面:body=“Index of/”(列目录漏洞)
  • 框架:body=“icon-spring-boot-admin.svg"(Spring Boot Admin)
  • 子域名:host="x.cn"
  • 后台挖掘:title="后台” && body=“password" && host="x.cn"

六、常见的未授权访问漏洞有哪些?

Active MQ 未授权访问
Atlassian Crowd 未授权访问
CouchDB 未授权访问
Docker 未授权访问
Dubbo 未授权访问
Druid 未授权访问
Elasticsearch 未授权访问
FTP 未授权访问
Hadoop 未授权访问
JBoss 未授权访问
Jenkins 未授权访问
Jupyter Notebook 未授权访问
Kibana 未授权访问
Kubernetes Api Server 未授权访问
LDAP 未授权访问
MongoDB 未授权访问
Memcached 未授权访问
NFS 未授权访问
Rsync 未授权访问
Redis 未授权访问
RabbitMQ 未授权访问
Solr 未授权访问
Spring Boot Actuator 未授权访问
Spark 未授权访问
VNC 未授权访问
Weblogic 未授权访问
ZooKeeper 未授权访问
Zabbix 未授权访问


七、文件上传功能的检测点有哪些?

  • 客户端的JS检测(主要检测文件名后缀)
  • 服务端检测(MINE类型检测、文件后缀名、文件格式头)

八、常见的中间件有哪些,常见都有哪些相关漏洞?

  • IIS:解析漏洞、短文件名枚举、远程代码执行、PUT漏洞
  • Apache:解析漏洞、目录遍历、shiro反序列化漏洞
  • Nginx:解析漏洞、目录遍历、CRLF注入、目录穿越
  • Tomcat:示例目录、远程代码执行、反向路径遍历、war后门文件部署
  • Jboss:反序列化、war后门文件部署
  • web Logic:反序列化、SSRF任意文件上传

九、介绍一下SQL注入种类?

  • 提交方式分为:GET型、POST型、Cookie型
  • 注入点分为:数字型、字符串型、搜索型
  • 运行结果分为:基于时间的盲注、基于报错、基于布尔的盲注、基于数字

十、Windows常用的命令有哪些?

Windows——常用的DOS命令行操作指令(一)_xiaochuhe.的博客-CSDN博客_windows命令行删除

  • ping:检查网络联通
  • ipconfig:查看ip地址
  • dir:显示当前文件夹的内容
  • net user:查看用户
  • netstat:查看端口
  • tasklist:查看进程列表
  • find:搜索文件中的字符串

十一、Linux常见的命令有哪些?

  • ls:显示当前文件夹的内容
  • ifconfig:查看ip地址
  • whoami:查看用户
  • netstat:查看端口
  • ps:查看进程列表
  • grep:文件中搜索字符串
  • crontal:检查定时任务

十二、在Windows靶标站点如何建立隐藏用户?

net user xiaofeng$ 112233 /add (建立隐藏用户xiaofeng)

net localgroup administrators xiaofeng$ /add (将隐藏用户xiaofeng加入管理员用户组)


十三、正向shell和反向shell的区别是什么?

        内外网区别,正向shell是攻击者处于内网,被攻击者处于公网;而方向shell是攻击者处于外网,被攻击者处于内网,且是被攻击主动连接攻击者。


十四、连接不了MySQL数据库站点的原因有哪些?

  1. 3306端口没有对外开放
  2. MySQL默认端口被修改(最常见)
  3. 站库分离

十五、哪些漏洞经常被用于打点?

  • 边界网络设备资产跟弱口令结合
  • 上传漏洞
  • Log4j
  • Apache Shiro漏洞
  • Fastjson漏洞

十六、常见的端口和渗透方式简单描述一下?

服务端口渗透点
FTP21匿名登录、爆破
ssh22爆破
Telnet23嗅探、爆破
sql server1433弱口令、注入、爆破
Oracle1521弱口令、注入、爆破
mysql3306弱口令、注入、爆破
WebLogic7001Java反序列化、弱口令
Redis6379未授权访问、弱口令

Jboss

8080反序列化、弱口令
Zabbix8069SQL注入、远程代码执行

以上是关于常见的中间件都有哪些的主要内容,如果未能解决你的问题,请参考以下文章

常见的中间件都有哪些?

Oracle中间件的优势都有哪些

ORACLE所用的中间件主要都有哪些,为啥要用中间件

护网行动面试题目汇总

什么是中间件?常见中间件有哪些?

常见的中间件有哪些?