信息收集之架构、搭建、WAF
前言
一般在安全测试中,信息收集是非常重要的一个环节,掌握信息的多少将取决于我们能发现多少漏洞,同样决定着是否能完成客户交代的测试任务。
在这里,可能会有一些误解,有些人肯定会反驳,在安全测试中,我为什么要做这些脏活累活去收集对方的资产呢,我们的目的是安全测试,而不是去浪费时间收集对方的资产信息。在这里我说一句,就好比拿如今的信息化战争为例,假设发生一场战争,你肯定会摸清对手的信息,它的物资储备、火力弹药等等,如果你不收集这些关键性信息的话,拿什么和人家斗,这样无异于羊入虎口,去给人家看笑话。
往往只有收集到足够多的信息,才能为下一步做好打算,信息收集虽然是一件枯燥无味的事情,但是它却可以培养你细心程度,就算多花一些时间去认真做好一件事,也不要马马虎虎的搞砸一件事。
架构篇
在这里我们讲讲网站的架构,网站的架构一般由框架、中间件、脚本语言、数据库、操作系统等等。
框架
常见的框架有:fastjson,shiro,Spring
下面讲讲fastjson
fastjson的简介
什么是fastjson?
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson的优点
速度快
fastjson相对其他JSON库的特点是快,从201 1年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越。
使用广泛
fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastison在业界被广泛接受。在2012年 被开源中国评选为最受欢迎的国产开源软件之一 。
中间件(容器)
常见的中间件有:weblogic,apache,Tomcat,iis,nginx
下面讲讲:apache
Apache的简介
Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。
前不久刚爆出来个log4j的漏洞,就属于Apache的框架漏洞,不过我们日常生活中使用的Apache并不会受到影响,因为Apache官方已经修复了该漏洞,也提供了补丁,可以放心使用Apache这个容器。
像在日常工作中使用最多的Apache容器是在phpstudy上面,它是一款集成php、Apache、nginx、数据库的一款一键式建站工具,感兴趣的小伙伴,可以去下载,使用起来也很方便。
脚本语言
脚本语言分为前端、后段两种,前端分别有:css、html、js,后端分别有:php、python、java、aspx、asp。当然并没有什么语言最好用这一说法,因人而异,哪一款语言都有它的独特之处。
这里讲讲:python
python的简介
Python由荷兰数学和计算机科学研究学会的吉多·范罗苏姆 于1990 年代初设计,作为一门叫做ABC语言的替代品。Python提供了高效的高级数据结构,还能简单有效地面向对象编程。Python语法和动态类型,以及解释型语言的本质,使它成为多数平台上写脚本和快速开发应用的编程语言,随着版本的不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。
这里我为什么拿python来讲呢,因为它的语法结构都比较简单,相较和php来对比,python无论是在代码的简介程度和运行结果上,都决胜一场,当然我不是说php不好,而是对初学者来说,python更友好一些。
数据库
平时我们在很多领域都会用到数据库,就好比如超市里的数据库,每个商品的价格在数据库中都存有,只要用扫描枪一扫,就会出现对应商品的价格。不过呢,市面上有好几款数据库,虽然使用起来都差不多,但是它们的使用方法却不太相似。
使用得最多的几款数据库:mysql,sql server,orcale,access
这里讲讲最常用的mysql数据库
Mysql数据库简介
MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS (Relational Database Management System,关系数据库管理系统) 应用软件之一。
MySQL是一种关系型数据库管理系统,关系数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。
MySQL所使用的 SQL 语言是用于访问数据库的最常用标准化语言。MySQL 软件采用了双授权政策,分为社区版和商业版,由于其体积小、速度快、总体拥有成本低,尤其是开放源码这一特点,一般中小型网站的开发都选择 MySQL 作为网站数据库。
mysql数据库使用挺广泛的,就比如phpstudy就集成了mysql数据库,上面还有很多数据库的工具,极大的方便我们使用。
操作系统
操作系统(operating system,简称OS)是管理计算机硬件与软件资源的计算机程序。操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入设备与输出设备、操作网络与管理文件系统等基本事务。操作系统也提供一个让用户与系统交互的操作界面。
目前的操作系统有windows、Linux、MacOs三种操作系统,他们都是独立的三款操作系统。拿我们平时使用最多的操作系统来说,微软的windows有着图形化界面,使用起来,简单快捷。而linux系统却截然不同,虽然有特定的图形化界面的版本,但在很多环境下都是使用命令行去进行操作的,使用起来相对有点困难,不过并不用担心,网上有很多操作系统的命令教程,我们可以边查阅边学习。
搭建篇
对于网站的搭建来说,可能很多人都会觉得很麻烦,操作起来并不是很理想,这里我们就拿phpstudy来讲讲吧,它是一款一键式建站工具,里面集成了Apache、nginx、mysql等等,非常适合搭建一些CMS类的网站。但是最好下载市面上最新的CMS,因为旧的CMS是存在漏洞的,容易出现安全隐患。
介绍phpstudy搭建CMS的方法
下载好phpstudy(https://www.xp.cn/)
打开Nginx,当然喜欢用Apache也是可以的,效果一样
网站的配置页面,默认端口是80
这里我们能看到一个根目录,也就是www目录,是存放一些脚本和CMS的地方
下载一个织梦CMS(https://www.dedecms.com/download)
打开织梦的安装包,找到Uploads,复制好
放到phpstudy的www目录下
输入:127.0.0.1/Uploads可以看到织梦的安装界面,说明配置没有问题
点击继续
这里需要输入数据库的密码才能安装,数据库默认密码是root,点击下一步
这里安装完成,分别有网站的前台和后台两个模块
织梦的前台页面
织梦的后台页面
本次安装的站点属于目录型站点,仅用于测试,同一服务器下有不同的站点,多个网站在同一个服务器,目标是其中一个网站。当然搭建工具并不是只有phpstudy,市面上还有wamp、宝塔面板等等,功能都基本一样,选择权完全看个人喜好。
WAF篇
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
在现在的市场中已经有非常多成熟的WAF软件,我们熟悉的产品就有:安全狗、D盾、云锁、护卫神等等,虽然WAF能抵御很多威胁,但还是存在缺陷的。就比如安全狗,可以通过内联注释、垃圾数据的方式绕过安全狗的检测。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是在现实中,Web服务器和应用存在各种各样的安全问题,并随着黑客技术的进步也变得更加难以预防,因为这些问题是普通防火墙难以检测和阻断的,由此产生了WAF(Web应用防护系统)。Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
以下是市面上TOP30的WAF软件排行:
获取更多网络安全信息:
+Q Q群:863658976
V X公众号: 哈客部落
哈客社区:hake.cc
