常见搭建平台脚本启用

ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境

域名IP目录解析安全问题

IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息，而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问，域名访问的时候一般只会指向某个目录，IP访问的时候指向的是根目录。

常见文件后缀解析对应安全

指定后缀名对应某个文件，访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。

常见安全测试中的安全防护

1. 网和企业内网会限制外部人员访问内部的网站，限制IP地址，规范访问者的权限
2. 身份验证和访问控制，基于用户的限制

3. 限制IP地址的访问，授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问

WEB源码中敏感文件

1. 后台路径
2. 配置文件

3. 备份文件

web后门与用户及文件权限

1. 设置相关权限，禁止来宾用户的权限，导致连接的后门看不到任何东西，它属于防护技巧，同时也是测试里经常碰到的问题
2. 设置了执行权限，没有执行权限，文件不给执行，代码就无法正常执行，后门就无法正常使用

3. 绕过思路
   将后门试着放在其他可以执行的目录。比如，网站根目录或者其他有脚本存放的目录下面。

基于中间件的简要识别

通过抓取数据包的返回结果，查询搭建平台信息

基于中间件的安全漏洞

https://www.freebuf.com/articles/web/192063.html

涉及资源

1. www.vulhub.org
2. https://www.vulnhub.com/

Windows server 2019 IIS服务器安装

IIS安装

1. 打开服务器管理器，点击添加角色和功能
2. 点击下一步

3. 选择“基于角色或基于功能的安装”，然后点击下一步
4. 进入服务器选择页面，选择从服务器池中选择服务器，点击下一步

5. 服务器角色中选择 Web服务器（ISS）
6. 选择.Net FrameWork版本，都选择，点击下一步

7. 继续点击下一步
8. web服务器角色（IIS）里的 服务全装

9. 开始安装
10. 显示这个界面即安装成功

11. 下次使用，直接搜索管理工具，然后打开IIS
12. 管理界面

搭建网站

1. 在C盘创建文件夹www
2. 进入IIS–>网站–>添加网站——>将物理路径改为新建的文件夹（www）的路径，并分配一个8080端口。（默认的网站是80端口，已经被占用）

3. 然后将新建的网站的默认文档删除，在添加想要显示的页面作为默认文档
4. 直接访问会报错：
   HTTP 错误 403.14 - Forbidden

5. 主页-双击目录浏览-启用
6. 成功打开

vulhub靶场的搭建

常见搭建平台脚本启用

ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境

域名IP目录解析安全问题

IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息，而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问，域名访问的时候一般只会指向某个目录，IP访问的时候指向的是根目录。

常见文件后缀解析对应安全

指定后缀名对应某个文件，访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。

常见安全测试中的安全防护

1. 网和企业内网会限制外部人员访问内部的网站，限制IP地址，规范访问者的权限
2. 身份验证和访问控制，基于用户的限制

3. 限制IP地址的访问，授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问

WEB源码中敏感文件

1. 后台路径
2. 配置文件

3. 备份文件

web后门与用户及文件权限

1. 设置相关权限，禁止来宾用户的权限，导致连接的后门看不到任何东西，它属于防护技巧，同时也是测试里经常碰到的问题
2. 设置了执行权限，没有执行权限，文件不给执行，代码就无法正常执行，后门就无法正常使用

3. 绕过思路
   将后门试着放在其他可以执行的目录。比如，网站根目录或者其他有脚本存放的目录下面。

基于中间件的简要识别

通过抓取数据包的返回结果，查询搭建平台信息

基于中间件的安全漏洞

https://www.freebuf.com/articles/web/192063.html

涉及资源

1. www.vulhub.org
2. https://www.vulnhub.com/

Windows server 2019 IIS服务器安装

IIS安装

1. 打开服务器管理器，点击添加角色和功能
2. 点击下一步

3. 选择“基于角色或基于功能的安装”，然后点击下一步
4. 进入服务器选择页面，选择从服务器池中选择服务器，点击下一步

5. 服务器角色中选择 Web服务器（ISS）
6. 选择.Net FrameWork版本，都选择，点击下一步

7. 继续点击下一步
8. web服务器角色（IIS）里的 服务全装

9. 开始安装
10. 显示这个界面即安装成功

11. 下次使用，直接搜索管理工具，然后打开IIS
12. 管理界面

搭建网站

1. 在C盘创建文件夹www
2. 进入IIS–>网站–>添加网站——>将物理路径改为新建的文件夹（www）的路径，并分配一个8080端口。（默认的网站是80端口，已经被占用）

3. 然后将新建的网站的默认文档删除，在添加想要显示的页面作为默认文档
4. 直接访问会报错：
   HTTP 错误 403.14 - Forbidden

5. 主页-双击目录浏览-启用
6. 成功打开

vulhub靶场的搭建