本文解析了伪静态工作原理,讨论其在SEO中的作用,并介绍如何在伪静态网站上进行SQL注入和XSS攻击,同时关注安全风险与配置优化
最近小伙伴问我说这个伪静态这个是怎么一回事,伪静态的这个网站的攻防要怎么做,那咱首先给大家先讲一讲伪静态是个什么东西。咱们一般网站都是分为静态和动态的,静态是什么,就比如说一些html页面组成的,就它是基本固定的,一般不会去变的那种内容动态,就是说根据你的不同请求来给你展示出不同的内容,那么对于seo,就是对于搜索引擎优化这些事来说,搜索引擎肯定是更喜欢静态网站的,所以精彩网站更容易做SEO提升我们的排名,那么有这种需求之后就出现了伪静态这么一个东西。
因为我们不可能做成真正静态,我们不可能一直去生成这个 Html网页,把它变成真正的静态文件,那样太麻烦了。
那么伪静态就出现了,它怎么做,它就是说把这个参数放在html文件的前面,把它这个参数变成了文件名,让它看起来对于搜索引擎对于用户来说,看起来像是一个静态的网站,但实际上它还是一个动态的,因为它的参数就是在这html文件前面的这一块。
那么当然真静态,也有一些网站用的是真的静态的,就是它真的是比如说像博客这种,你写完一篇真的给你生成一个HTM网页,所以大家在做这个伪静态的攻防之前,先去看一看到底是真的的静态的还是伪静态。那么接下来说的是什么,大家可能也见过就是像这个URL这样的,它的这个参数就是在htm文件前面,这一块就跟咱们在这个asp文件后面问号的这个参数是一样的道理,只不过他把参数了放在了htm这一块。
所以在面对这种伪静态网站的时候,比如说咱们要做SQL注入,那咱其实跟正常在 PHP后面问号后面做的这么一个注入是一样的道理,咱们只需要把注入点放在了没有文件的前面,就是文件名这一块去做注入就行,比如说像这个样子,那么面对XSS这一类漏洞的时候,其实是和正常的动态网站是一样的道理,因为因为它的网站的结构后台,实际上伪静态和动态它的本质区别并不大,所以你做XXS时候不用特别注意这些问题,但是反射的时候你可能就要考虑到说参数在文件名这一块你要做怎样的一个处理,
最低0.47元/天 解锁文章
扫一扫
2029
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
