小迪安全web学习笔记

Posted 神夜十三香

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了小迪安全web学习笔记相关的知识,希望对你有一定的参考价值。

1、iis环境
win 2003 iis 6.0

iis提供网站服务,也就是常说的中间件(搭建平台)。

2、域名ip解析的安全问题
属性——>高级——>编辑——>主机头值(改域名宁)
用 ip加端口 或 域名加端口 访问网站,但本地域名需要改

3、访问和扫描网站
用域名扫描可以达到www.之下的blog目录,用ip地址访问可以达到www.目录。ip扫描指向根目录。

4、文件后缀对应安全
isapi扩展
ASP.NET是一个免费的 Web 框架,用于使用 HTML、CSS 和 JavaScript 构建出色的网站和 Web 应用程序。 还可以创建 Web API 并使用 Web 套接字等实时技术。
搭建平台
当我们上传asp后缀的文件时,如果行不通,可以换成其他的有相同可执行文件的后缀名经行隐藏。例如:木马病毒

5、常见防护
属性——>目录安全性——>身份验证和访问控制
属性——>目录安全性——>IP地址和域名限制——>拒绝访问(IP地址黑名单)/授权访问(IP地址白名单)

6、web后门与用户及文件权限
文件夹属性安全里可以更改和选择用户名可以行使的权限。
可在目录修改执行权限限制后门。
写入:更改文件夹内容
读取和运行:

7、关于中间件的简单识别
先抓一下数据包。查看发现server:..........IIS/6.0
了解到搭建平台。

8、漏洞练习网站
https://www.vulhub.org/

pdf阅读器(smartpdf)

9、总结
(1)搭建平台有漏洞
(2)搭建平台在网站解析是会出现安全问题
(3)搭建平台的防护手段

 

(2020上半年第68天(CTF夺旗-网鼎杯WEB真题))小迪网络安全笔记

以上是关于小迪安全web学习笔记的主要内容,如果未能解决你的问题,请参考以下文章

小迪安全web学习笔记

小迪安全web学习笔记

小迪安全web学习笔记

小迪安全web学习笔记

小迪安全web学习笔记

《小迪网络安全笔记》 第十二节:WEB漏洞-SQL注入之简要SQL注入