小迪安全web学习笔记（3）

1、iis环境
win 2003 iis 6.0

iis提供网站服务，也就是常说的中间件（搭建平台）。

2、域名ip解析的安全问题
属性——>高级——>编辑——>主机头值（改域名宁）
用 ip加端口 或 域名加端口 访问网站，但本地域名需要改

3、访问和扫描网站
用域名扫描可以达到www.之下的blog目录，用ip地址访问可以达到www.目录。ip扫描指向根目录。

4、文件后缀对应安全
isapi扩展
ASP.NET是一个免费的 Web 框架，用于使用 HTML、CSS 和 JavaScript 构建出色的网站和 Web 应用程序。 还可以创建 Web API 并使用 Web 套接字等实时技术。
搭建平台
当我们上传asp后缀的文件时，如果行不通，可以换成其他的有相同可执行文件的后缀名经行隐藏。例如：木马病毒

5、常见防护
属性——>目录安全性——>身份验证和访问控制
属性——>目录安全性——>IP地址和域名限制——>拒绝访问（IP地址黑名单）/授权访问（IP地址白名单）

6、web后门与用户及文件权限
文件夹属性安全里可以更改和选择用户名可以行使的权限。
可在目录修改执行权限限制后门。
写入：更改文件夹内容
读取和运行：

7、关于中间件的简单识别
先抓一下数据包。查看发现server：..........IIS/6.0
了解到搭建平台。

8、漏洞练习网站
https://www.vulhub.org/

pdf阅读器（smartpdf）

9、总结
（1）搭建平台有漏洞
（2）搭建平台在网站解析是会出现安全问题
（3）搭建平台的防护手段