:设计师如何从零开始打造一个網站而且还不怎么花钱呢?这个系列教程帮你手把手学会!上一篇文章我们介绍了国内外各大主流的大中小IDC服务商这一篇文章我们开始来讲解如何架设个人网站的基础服务。
这几天任天堂的 Pokémon GO 很火爆我个人也比较想玩,不过它锁定了 IP 和 GPS 并且需要谷歌账号登陆什么的。由于我Vultr 账户里的余额比较充足我于是选购了一台澳大利亚悉尼机房的最低配服务器,价格为6美刀每月(5美刀每月的服务器和1美刀每月嘚自动备份服务)如下图所示。
好了我们言归正传,在这里我们个人网站的基础服务采用的不是可视化控制面板的方案而是相对复雜一些的但自由度也更高一些的一键基础服务配置方案——OneinStack(一键PHP/JAVA安装工具)。
OneinStack是著名独立技术博客LinuxEye的博主yeho开发的一键基础服务配置工具
““是国内人气最高的网页设计师学习平台,专注分享、无线端设计以及
【特色推荐】设计师需要读的100本书:史上最全的设计师图书导航:。
决定搭建XSS平台是因为自己想深入學习一下XSS相关的知识多多进行实践,上网搜索了一下XSS平台有很多但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器仩而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外在网上没有任何关于这款XSS平台搭建方面的教程,最后在导师的鼓励和帮助下促成了这篇分享也顺便记錄一下自己所出现的问题方便以后回顾。
#新建虚拟主机配置文件夹
#新建虚拟主机配置文件
按esc键退出编辑状态进入到命令模式
输入:wq命令然後回车保存编辑的文本
#编辑httpd.conf文件、将刚刚添加虚拟主机文件包含到配置文件中
在配置文件末尾插入以下内容
#重新载入Apache配置文件
# 设置后台登錄密码、数据加密密码(一定记得要修改)
#其余选项可保持默认,然后提交
#最后点击下方的修改,保存修改
# 进入“我的js”模块
#选择“新增”保存js测试代码
#同刚刚我们所使用的平台做一对比发现我们的这个平台还是有一些自己的特点的:
界面简洁,更加嘚人性化
定位精准(使用纯真ip数据库)
轻量级、安全(不使用数据库)
对XSS记录、IP封禁列表、js的说明(仅说明)加密可设置是否加密、加密密码以及加密方式(AES、RC4)
内置编辑器支持js语法高亮、语法错误检查
#以上两条命令执行后前后结果对比
只对外开放:HTTP、SSH服务
#INPUT链:允许已经建立连接和在已建立的连接的基础上对服务器连接发起的连接
#INPUT链:允许对服务器http80端口新发起的连接
#INPUT链:允许对服务器ssh23233端口新发起的连接
#OUTPUT链:允许已经建立连接和在已建立的连接的基础上服务器对其它地址连接发起的连接
#OUTPUT链:允许服务器向外部服务器DNS53(udp)端ロ新发起DNS解析请求(yum等服务需要用到)
#OUTPUT链:允许服务器向外部服务器http80端口新发起请求(yum等需要用到)
#OUTPUT链:允许服务器向外部服务器https443端口新發起请求(git等需要用到)
#配置防火墙默认进出规则:拒绝所有数据包
#设置防火墙开机自启动
#设置执行计划(每5分钟执行一次检测)
#输错5次密码被Ban后的效果
解决思路:打开调试模式-刷新-发现确实有我们的xss-js代码执行-找到返回的数据包-发现返回数据包302跳转到XSS平台主頁;
此时查看网站根目录发现index.php这个文件,因为我们的主页是admin.php而index.php这个页面似乎并没有使用,打开后猜测其内容应该是接收处理发送来的参數
于是更加确定了自己猜想应该是对的此处网站地址应该填http://服务器IP地址/index.php用来接收参数,而不是填网站ip地址http://服务器IP地址
在这次搭建XSS平台學习XSS利用技术的过程中,还是遇到了一些问题比如:服务器端js代码的配置、一些新功能的尝试等。过程中锻炼了自己的动手能力了解叻XSS平台基本网站结构,帮助自己巩固了以前学习的知识这个平台上还有一些js利用代码的功能还不是很了解,以后在工作之余可以学习学習希望以后可以向大家多学习相关知识,不断提升自己努力能够为团队出一份自己的绵薄之力。