渗透测试步骤

(1)使用GET与CONNECT请求,尝试用Web服务器作为代理服务器,连接因特网上的其他服务器,并获取其中的内容。

(2)尝试使用前面描述的两种技巧连接主机基础架构中的不同IP地址与端口。

(3)尝试使用前面描述的两种技巧,在请求中指定127.0.0.1为目标主机,连接Web服务器上的常用端口号。

18.1.6 虚拟主机配置缺陷

第17章介绍了如何使用HTTP Host消息头指定返回内容的Web站点,配置Web服务器为几个Web站点的主机。在Apache中,虚拟主机通过以下方式配置:

img527a

除DocumentRoot指令外,还可以使用虚拟主机容器为Web站点指定其他配置选项。这时,我们常犯的一个错误是忽略默认主机,导致任何安全配置仅适用于一台虚拟主机,而在访问默认主机时却可轻易避开。