1.域名

定義:域名（英語(yǔ)：Domain Name），又稱(chēng)網(wǎng)域，是由一串用點(diǎn)分隔的名字組成的互聯(lián)網(wǎng)上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱(chēng)，用于在數(shù)據(jù)傳輸時(shí)對(duì)計(jì)算機(jī)的定位標(biāo)識(shí).

因?yàn)閕p地址不方便記憶.而且不能顯示地址組織的名稱(chēng)和性質(zhì),所以用域名也可以定位到響應(yīng)的up,可簡(jiǎn)單理解為是ip地址的另一個(gè)稱(chēng)呼

域名等級(jí)

1. 頂級(jí)域名
   如baidu.com就是一個(gè)頂級(jí)域名,一串字符串之間有一個(gè).隔開(kāi)
2. 二級(jí)域名
   如www.baidu.com就是一個(gè)二級(jí)域名,一串字符串之間有兩個(gè).隔開(kāi)
3. n級(jí)域名
   以此類(lèi)推

域名注冊(cè)

以下平臺(tái)可以進(jìn)行域名注冊(cè)

• 1.Godaddy
• 2.Gandi
• 3.Hover
• 4.Namesilo
• 5.Namecheap
• 6.萬(wàn)網(wǎng)

域名對(duì)于安全測(cè)試的意義

在進(jìn)行滲透測(cè)試時(shí),若在主域名中找不到漏洞,就可以嘗試去測(cè)試子域名,若子域名中找到了漏洞,就可以由此橫向測(cè)試到主網(wǎng)站
這兒附一個(gè)子域名探測(cè)工具:Layer子域名挖掘機(jī)
鏈接：https://pan.baidu.com/s/1YFu9V0WtdG905eaVFNFa0A
提取碼：zkaq

2.DNS

定義:域名系統(tǒng)（英文：Domain Name System，縮寫(xiě)：DNS）是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便地訪問(wèn)互聯(lián)網(wǎng)

本地hosts文件與DNS的關(guān)系

定義:Hosts是一個(gè)沒(méi)有擴(kuò)展名的系統(tǒng)文件，可以用記事本等工具打開(kāi)，其作用就是將一些常用的網(wǎng)址域名與其對(duì)應(yīng)的IP地址建立一個(gè)關(guān)聯(lián)“數(shù)據(jù)庫(kù)”，當(dāng)用戶(hù)在瀏覽器中輸入一個(gè)需要登錄的網(wǎng)址時(shí)，系統(tǒng)會(huì)首先自動(dòng)從Hosts文件中尋找對(duì)應(yīng)的IP地址，一旦找到，系統(tǒng)會(huì)立即打開(kāi)對(duì)應(yīng)網(wǎng)頁(yè)，如果沒(méi)有找到，則系統(tǒng)會(huì)再將網(wǎng)址提交DNS域名解析服務(wù)器進(jìn)行IP地址的解析。

瀏覽器訪問(wèn)網(wǎng)站，要首先通過(guò)DNS服務(wù)器把要訪問(wèn)的網(wǎng)站域名解析成一個(gè)唯一的IP地址，之后，瀏覽器才能對(duì)此網(wǎng)站進(jìn)行定位并且訪問(wèn)其數(shù)據(jù)
如下舉例:
本地hosts文件一般在c:\windows\system32\drivers\etc目錄下

一般默認(rèn)情況下win10的hosts文件配置如下

ping 127.0.0.0

修改本地hosts問(wèn)價(jià),在底部添加127.0.0.1 azure.test.io保存

刷新DNS緩存ipconfig /flushdns

ping azure.test.io

CDN與DNS

定義:通過(guò)在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡(luò)，CDN系統(tǒng)能夠?qū)崟r(shí)地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況以及到用戶(hù)的距離和響應(yīng)時(shí)間等綜合信息將用戶(hù)的請(qǐng)求重新導(dǎo)向離用戶(hù)最近的服務(wù)節(jié)點(diǎn)上

使用CDN的目的是使用戶(hù)可就近取得所需內(nèi)容，解決Internet網(wǎng)絡(luò)擁擠的狀況，提高用戶(hù)訪問(wèn)網(wǎng)站的響應(yīng)速度。
可通過(guò)超級(jí)ping的網(wǎng)站可以看到CDN的解析情況:ping網(wǎng)站
youku.com

常見(jiàn)DNS攻擊

• DDOS
• DNS緩存中毒
• DNS重定向
• DNS查詢(xún)嗅探
• ARP欺騙
• 本機(jī)劫持

3.后門(mén)

定義:在信息安全領(lǐng)域，后門(mén)是指繞過(guò)安全控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的方法

后門(mén)的最主要目的就是方便以后再次秘密進(jìn)入或者控制系統(tǒng)

后門(mén)的玩法及免殺

• 玩法(即創(chuàng)建后門(mén)之后進(jìn)行的操作)

1. 網(wǎng)站后門(mén):控制網(wǎng)站
2. 軟件后門(mén):控制軟件相關(guān)功能
3. 服務(wù)器后門(mén):脫庫(kù),盜取信息

• 免殺

定義:免殺技術(shù)全稱(chēng)為反殺毒技術(shù)Anti Anti-Virus簡(jiǎn)稱(chēng)“免殺”，它指的是一種能使病毒木馬免于被殺毒軟件查殺的技術(shù)

免殺技術(shù)的內(nèi)容基本上都是修改病毒、木馬的內(nèi)容改變特征碼，從而躲避了殺毒軟件的查殺

4.web

web的組成框架

• 網(wǎng)站源碼
• 操作系統(tǒng)
• 中間件
• 數(shù)據(jù)庫(kù)
  
  在探測(cè)漏洞時(shí),最好判斷一下這個(gè)漏洞是屬于哪個(gè)框架的

web相關(guān)漏洞

web使用方面廣,從WEB方向先入手，一步一步的獲取最高權(quán)限
聲明:本文只供參考學(xué)習(xí),初次學(xué)習(xí)如有誤導(dǎo)請(qǐng)糾正文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-470821.html

到了這里，關(guān)于Web安全-滲透測(cè)試-基礎(chǔ)知識(shí)01的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！