首先要先学会使用IIS搭建网站

(6条消息) windows 中开启IIS功能，并使用IIS来搭建web服务器，并提供测试源码，验证搭建是否成功_黑色地带(崛起)的博客-CSDN博客https://blog.csdn.net/qq_53079406/article/details/122901947?spm=1001.2014.3001.5501

常见搭建平台脚本启用

ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境

域名IP目录解析安全问题

①通过IP地址访问可以发现更多的信息，有时能找到程序源码备份文件和敏感信息

②域名访问只能发现一个文件夹下的所有文件，ip访问是域名访问的上一级。

③网站搭建的时候支持IP访问和域名访问，域名访问指向某个目录，IP访问指向根目录。

常见文件后缀解析对应安全

指定后缀名对应某个文件，访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。

设置印射处理特定程序请求

 

常见安全测试中的安全防护

学校和企业的内部网站，会限制外部访问内部的网站，限制IP地址，规范访问者的权限。身份验证和访问控制，基于用户的限制，限制IP地址的访问，授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问。

 

 

WEB后门与用户及文件权限

exe后门生成工具Quasar

链接：https://pan.baidu.com/s/15XpECQY8SKJwIBxsTy_F3Q 
提取码：hj12

使用方法：

(6条消息) EXE后门生成工具Quasar的配置和简单的使用方法_黑色地带(崛起)的博客-CSDN博客https://blog.csdn.net/qq_53079406/article/details/122905870?spm=1001.2014.3001.5501

文件夹设置相关权限，禁止来宾用户的权限，导致连接的后门看不到任何东西，它属于防护技巧，同时也是安全测试里经常碰到的问题

 

 

基于中间件的简要识别

通过抓取数据包的返回结果，查询搭建平台信息

service:nginx/1.8.0

 

web中间件常见漏洞总结

链接：https://pan.baidu.com/s/1NKejdCI_UY8syRIDfVZwEg 
提取码：hj12