一.资产架构-端口&目录&插件接口&多站点&多应用

  • WEB 单个源码指向安全

  • WEB 多个目录源码安全

    ​ bbs.xiaodi8.com 是个dz论坛

    ​ bbs.xiaodi8.com/blog 是个wp程序

    ​ 一个网站,两个程序,任何一个程序出现漏洞,都可以进入安全测试

  • WEB 多个端口源码安全

    ​ bbs.xiaodi8.com dz论坛

    ​ bbs.xiaodi8.com:8081 zblog程序

    ​ 一个网站,两个程序,任何一个程序出现漏洞,都可以进入安全测试

    ​ 与上面相似,一个是采用目录搭建了两个,一个是端口型搭建了两个

  • 服务器架设多个站点安全

    ​ 例如:有bbs.xiaodi8.com和edu.xiaodi8.com都指向47.242.117.23

    ​ 给到目标bbs.xiaodi8.com ,那么可以尝试对edu.xiaodi8.com进行安全测试

  • 架设第三方插件接口安全

  • 服务器架设多个应用安全

二.番外安全-域名&服务器本身&服务厂商&管理人员

  • 基于域名解析安全

  • 基于服务器本身安全

  • 基于服务商信息安全

  • 基于管理个人的安全

三.考虑阻碍-站库分离&CDN&WAF&负载均衡&主机防护

  • 阻碍-站库分离

    ​ 数据库和网站不在一个地方,网站会调用远程数据库,导致攻下其一没有另外一个

  • 阻碍-CDN 加速服务

    ​ 相当于一个节点缓存,有可能不能找到真实IP,只能拿下缓存服务器的权限

  • 阻碍-负载均衡服务

    ​ 将工作负载分给多个服务器,存在备用机,有可能拿下的备用机没有想要的信息

  • 阻碍-WAF 应用防火墙

  • 阻碍-主机防护防火墙