(web层面、服务层面、系统层面)
已知cms探测、未知cms探测漏洞获得方法 漏洞扫描人工探针已知软件或服务(根据服务或软件名版本信息进行查找) Nmap系统层面(nessus扫描) php.ini安全设置与web安全magic_quotes_gpc=on/off (魔术引号,防御SQL注入手段,过滤四种字符,并不是最安全)
safe_mod (开启对提权、漏洞利用限制,禁用php中敏感函数,防御提权及后门)
disable_function=参数 (禁止自定义函数)
open_basedir=目录 (限制后门访问目录)
黑盒模板建站 常规cms可下载到的开源代码通过目标站后台版权获得旁注网站利用源码审计代码IIS安全设置与web安全防护 脚本执行权限防护拒绝目录及IP防护多重密码验证防护格式解析后缀防护(脚本访问ip可伪造,IIS平台获取(计算机协议)不可伪造)
