【第1天】基础入门(Web应用、架构搭建、站库分离、路由访问、配置受限)-网安笔记论坛-知识分享-安全小天地

【第1天】基础入门(Web应用、架构搭建、站库分离、路由访问、配置受限)

常规的Web应用搭建:

1、购买云服务器,购买域名

2、云服务器去搭建中间件

3、下载并上传Web程序源码

4、添加网站并绑定域名目录

这一方面的信息可以查看专题:

小白如何从无到有搭建一个属于自己的网站

 

常规的网站应用基础知识:

0、知道Web必备四大件作用

web的四大件分别为系统、中间件、数据库、源码,我们通过一套完整的web搭建来分别解释四大件的作用。web搭建有多种方式,在本地搭建,在服务器搭建,web搭建又分为不同的系统,比如linux还是window等等,之前我只在Linux中搭建过相关web服务,正好今天学习一下在window server中搭建web

参考文章:

在VMware虚拟机中安装windowsserver2016步骤详解(附激活教程及激活码)

1、知道网站有哪些形式展示

网站的三种模式

  • 子域名模式
    • 当前域名为anquanclub.cn,则study.anquanclub.cn就是anquanclub.cn的子域名,又叫二级域名
    • 在现实生活中,一般一个域名对应多个子域名,每个子域名对应不同的系统,我们可以分别去攻击
  • 端口模式
    • 网站的端口号默认是80,不加端口号就可以直接访问
    • 可以通过更换不同的端口号来访问不同的系统,如果更换为其他端口,则必须访问的时候添加端口号,格式为域名:端口号
  • 目录模式
    • 域名/a和域名/b可以部署两套不同的程序,通过更换域名的目录,即可访问不同的程序
    • 著名的博客园就是使用的目录模式,注册用户之后就会分配一个目录给我们使用
  • 其他模式
    • 集成软件
    • Docker容器
    • 分配站
    • 举例:博客站的每个用户都会分配一个网站供自己使用,QQ空间也是这种模式,此类网站安全性更好,更难突破

2、知道源码和URL访问对应关系

对应关系:常见的有单入口和多入口两种,直接可以访问文件地址的可以一般最好确定,

对于使用框架的,例如MVC等,常规思路是先确定路由信息,然后依次匹配确定网址url访问

访问一般有两种方式,普通的路径访问和路径访问,有些网站项目无法通过路径访问,比如java的web-inf文件,URL和文件目录对应不上,这种的需要配置路由才能访问某个网站

路径又分为相对路径和绝对路径,简单来说绝对路径就是某个文件的完整路径,相对路径就是该文件相当于当前位置的路径,我们在日常攻防网站中如果无法获取到绝对路径,就可以通过绝对路径来获取文件

3、知道源码有加密开源闭源类型

源码类型

网站的源码分为以下几个类型,如果能拿到源码就可以进行白盒测试-代码审计

  • 开源
    • 源码可见,比如GitHub和Gitee中公开的项目大多是源码不可见的
    • 源码不可见,,比如GitHub和Gitee中开源的付费项目项目大多是源码不可见的,有的是通过代码加密来实现,也有的是语言特性决定的,比如java编译好的都是class文件,打开都是字节码(可以通过反编译来还原代码)
  • 商业
  • 自用

4、知道文件访问解析由什么决定

媒体类型(通常称为 Multipurpose Internet Mail Extensions 或 MIME 类型)是一种标准,用来表示文档、文件或字节流的性质和格式,通过该规则我们能够根据文件的后缀来解析指定的文件格式,某些网站会存在解析漏洞,我们可以将木马文件上传后,通过修改解析规则来执行木马

5、知道数据库存储数据站库分离

数据库是结构化信息或数据的有序集合,一般以电子形式存储在计算机系统中。通常由数据库管理系统 (DBMS) 来控制。在现实中,数据、DBMS 及关联应用一起被称为数据库系统,通常简称为数据库

简单来说,我们打开某个网站,该网站的文章、动态、配置、我们的用户名和密码都是存储在数据库中

数据库有以下几种常见模式:

  • 本地存储:网站和数据库存储在同一个服务器中,如果数据库放在本地,那么拿到了网站的数据,一般也能拿到数据库的数据
  • 站库分离:网站和数据库不在同一个服务器中,网站访问数据库通过远程连接等方式,比如网站存储在A服务器,数据库存储在B服务器,每次客户请求数据时,A服务器从B服务器获取内容,如果是站库分离的网站,拿到了网站的数据,也不一定能拿到数据库
  • 云数据库:云数据库是近几年兴起的一个产品,简单来说就是把数据库存储在云端上,常见的有阿里云数据库和腾讯云数据库,相比传统的服务器,云安全系数更高,登录方式和安全组等安全配置更加复杂,还包含在线统计和分析等特色功能,同云数据库相似的还有OSS,网站文件不在存储在本地,而是存储在OSS中,OSS只做存储使用,不会执行我们上传的后门

6、知道中间件配置影响后续手法

理解中间件

一次web访问的顺序,web浏览器->web服务器(狭义)->web容器->应用服务器->数据库服务器

不同的中间件存在不同的配置需求,当出现不合理的配置时,会造成相应的安全问题:例如文件上传,图片马解析,脚本执行等

详情可以参考:https://zhuanlan.zhihu.com/p/473453245

7、知道常规真实Web搭建解析流程

参考:小白如何从无到有搭建一个属于自己的网站

8、思考为什么要学习掌握这些东西

1、学习这些基础是进一步了解web漏洞的垫脚石,有了这些基础知识铺垫,可以更好的了解为什么会出现这样的漏洞,以及这种类型的漏洞为什么要这样处理

2、基础不牢,地动山摇。只有具体知道网站是什么,怎么搭建,可以方便后续环境配置,方便学习。

请登录后发表评论

    请登录后查看回复内容