第1天:基础入门-Web应用_架构搭建_站库分离_路由访问_配置受限_DNS解析

1
2
3
4
5
6
7
8
9
10
11
12
13
首先知道网站的几种分类:

基于目录类型:
www.baidu.com/blog
www.baidu.com/bbs

基于端口类型:
www.baidu.com:8080
www.baidu.com:8888

基于子域名类型:
blog.baidu.com
bbs.baidu.com

img

还有一种就是基于分配站:

img

web程序的源码分为:开源,闭源,自写

1
2
3
4
5
6
开源:免费
	1.正常代码
	2.将代码进行加密
	3.语言特性,需要进行类似于反编译的操作
闭源:类似于网上那些需要购买的源码
自写:就是自己公司,自己的程序员写的网站程序源代码

上传木马之后的几种情况:

1
2
3
4
5
6
7
8
1. 成功上传,并且正常解析执行
2. 上传成功之后但是执行不成功
	1.有可能是目标网站对网站目录做了权限限制,不允许除开管理员之外的用户
	  去访问
	2.或许是目标网站对该目录做了身份验证,你想要去访问,需要进行用户密码
	  的认证
	3.最后就是目标网站对该目录设置了不能允许脚本文件执行。(类似于图片马		  不能解析)
	4.解析设置,用IIS进行举例,设置MIME类型。所以就会导致有些脚本文件去		访问的话,是进行下载,而不会进行解析。

站库分离

1
2
3
4
5
6
7
搭建网站的数据库分为几种情况

第一种(本地搭建):
这种搭建方式,就是数据库和网站的站点在同一台服务器上。

第二种(站库分离):
顾名思义数据库和web站点是分开的,但是这种分开有有几种情况,第一种就是数据库部署在其他服务器上,然后安装网站的时候需要填写目标数据库的ip地址,将其指向。或者是将数据库部署在云上,这两种方式都会导致你拿到数据库,就算通过数据库写了一个shell,拿下的也是数据库服务器,没有直接影响到web服务器。部署到云上,应该还会有平台的一些防护机制。

数据库有个连接设置,可以设置不可以外联,还有如果是在云上的话,可能还要面对云的默认的安全组,有可能这个组只允许,某个特定的IP进行访问。还有一些都不使用密码作为连接方式,使用类似于:key一样的东西进行连接。

总结:如果使用站库分离,那么数据被单独存放,那么需要进行连接数据库才可以对数据造成影响。

路由访问

1
2
常规的网站:网站/目录 访问的就是对应的目录
使用路由规则的网站:网站/目录 访问的不是对应的目录,甚至访问不到。需要根据路由规则进行访问。