本文来自小迪安全
一.常规化
原理:源码数据都在同服务器
影响:无,常规安全测试手法
二.站库分离:
原理:源码数据库不在同服务器
存储:其他服务器上数据库&云数据库产品
影响:数据被单独存放,能连接才可影响数据
三.前后端分离(可以理解为前端一个网站 后端一个网站 通过API接口进行传输数据)
原理:前端JS框架,API传输数据
影响:
1、前端页面大部分不存在漏洞
2、后端管理大部分不在同域名
3、获得权限有可能不影响后端
四.宝塔+Phpstudy
原理:打包类集成化环境,权限配置或受控制
影响:攻击者权限对比区别
如果用宝塔搭建,当用后门链接时 发现只可读当前文件目录 却不能读取上一级文件目录 命令也不能执行
而若常规(如IIS)搭建 如果没有设置相应权限 则会读取上一级文件权限 但无法读取上上一级文件权限 命令有些可以执行 有些不能
用phpstudy搭建 用后门链接 可以执行命令 目录也可进行读取
五.Docker容器
原理:虚拟化技术独立磁盘空间,非真实物理环境
影响:攻击者虚拟空间磁盘
如果用后门链接 获得的文件不是真实的 所以有了docker逃逸技术
六.建站分配站
1.托管
2.申请
原理:利用别人域名模版建立
影响:实质安全测试非目标资产
七,静态Web
例子:大学学的html设计的网站
原理:数据没有传输性(js传输不算)
影响:无漏洞
八.伪静态
动态转为静态技术,伪装的静态
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
