常规的Web应用搭建:
- 购买服务器,购买域名(阿里云)
- 搭建中间件(IIS)
- 下载并上传Web程序源码(ZBlog)
- 添加网站并绑定域名目录
Web必备四大件作用
系统(Windos)
中间件(IIS)
数据库(MySQL)
源码(开源ZBlog)
网站有哪些形式展示
子域名模式搭建:(这是四套完全不同的程序,不同的域名就是四个目标)
- www.cypher.com ZBlog ASP程序
- sun.cypher.com WordPress PHP程序
- bbs.cypher.com BBS 论坛DZ程序
- oa.cypher.com OA 通达OA程序
端口模式搭建:(这是两套完全不同的端口,就是两个目标)
- www.cypher.com ZBlog ASP程序(80默认端口)
- www.cypher.com:81 WordPress PHP程序
目录模式搭建:(这是两套是在一个目录里,但是是两个目标)
- cypher.com ZBlog ASP程序
- cypher.com/blog BBS 论坛DZ程序
或者集成软件 & Docker容器 & 分配站等
源码类型
开源:网上免费的源码,源码也分可见和不可见的(ZBlog)
商业:花钱找人开发,大部分源码不可见,加密(ASP加密软件),语言特性决定(Java)
自写:大型公司都是自写(百度,阿里都有自己的源码)
源码的结构组成:数据库目录,后台目录,文件目录
文件访问解析
可以通过中间件来更改目录的文件访问权限
后门上传之后,要分有没有执行权限,没有权限无法读取和运行
但一般网站里面的文件执行权限不可能都锁,一般锁图片目录运行就可以了,不然所有目录都锁了,网站无法运行
站库分离,云数据库存储RDS,云对象存储OSS
本地一致:数据库就放在同服务器地址下
站库分离:另一台服务器存放数据库,或者使用云数据库RDS应用,云数据库不用服务器并且设置安全组,只允许某些IP连接,包括外连特性,绑定特性等,阿里云Key等等更多方式连接站库分离的连接方式,甚至有账号密码都连不上,禁止外连
源码和URL访问对应关系,路由访问
绝对路径:C:\Users\Username\Documents\file.txt(写全的就是绝对路径)
相对路径:.\file.txt(没写全的就是相对路径,使用了.\代替)
例如mvc源码,Java和Python:URL和文件目录对应不上,上传到目录下,但是访问不到,必须按照特定的路由规则去配置访问
中间件配置影响后续手法
身份验证:Windows身份验证,绕过不了,必须要账号和密码
目录权限:防止后门上传并运行
解析规则:以不同的文件后缀名,该下载的下载,该打开的打开,如果更改了MIME类型设置就会改变原有情况
IIS易出现状况设置
属性权限:添加Everyone权限
ASP:启用父路径True
应用程序池:高级设置,启用32位应用程序True
默认文档:asp文件移动到首位指向
站库分离操作
阿里云的 Windows 服务器上使用 SQL Server Management Studio (SSMS) 设置站库分离的数据库
打开 SQL Server Management Studio
选择Windows 身份验证,点击“连接”。新建空白数据库
在左侧的“对象资源管理器”中,右键单击“数据库”,选择“新建数据库”。
在“数据库名称”中输入数据库名称(例如:MyDatabase)。
保留默认设置,点击“确定”创建数据库。创建用户并设置权限
在“对象资源管理器”中,展开“安全性”节点,右键单击“登录名”并选择“新建登录名”。
在“登录名”文本框中,输入新用户的名称(例如:MyUser)。
选择“SQL Server 身份验证”,并设置密码。
在“默认数据库”下拉列表中选择刚刚创建的数据库(例如:MyDatabase)。
去掉“强制密码过期”和“用户必须在下次登录时更改密码”的勾选。
在“用户映射”选项卡中,勾选您的数据库(例如:MyDatabase)。
下面的数据库角色成员勾选“db_owner”(拥有最高权限),然后点击“确定”。配置 SQL Server 允许远程访问
在 SSMS 中,右键单击服务器名字(例如:i-d7o04lxlfbbc14vdl9kb),选择“属性”。
在“连接”页面,确保勾选“允许远程连接到此服务器”。
总结
网站搭建模式:
子域名,端口,目录
集成软件 & Docker容器 & 网校/公司分配站等
中间件配置的安全问题:
身份验证,目录权限,解析规则
数据库安全问题:
本地一致,站库分离(另一台服务器数据库,云数据库)
程序源码类型:
开源/闭源,商业,自用
程序源码结构组成:
数据库目录,后台目录,文件目录
路由访问:
绝对路径,相对路径,常规访问/路由配置
复现:
完全复现
正确大小写命名:
Java
Python
PHP
Windos
Linux
IIS
ZBlog
MySQL
ASP
DZ
通达OA
WordPress
Key
JS
API
HTML5
Vue
phpStudy
WAF
CDN
iOS
Kotlin
App
IDEA