域名 IP 目录解析安全问题

演示基于web软件默认设置的情况下,网站使用ip访问与使用域名访问两种方式访问,实际访问的目录不同的情况下,使用目录扫描工具会获得更多不同的信息,在有可能的情况下,网站管理者可能将一些备份或者重要信息保存在网站的上级目录,通过这种默认设置上的漏洞,可以获得这些重要的信息

常见文件后缀解析对应安全

对于iis服务器可以通过修改解析的文件类型的来执行大马和小马

后门注意事项

getshell后,对于访问服务器的文件出现权限不足,需要考虑以下情况

  • web服务限制了文件访问权限
  • 系统限制web用户访问文件的权限

web漏洞靶场