杂项:
微信公众号的类别:
·服务号
·订阅号
·企业公众号
·小程序
若企业微信公众号能跳转外部小程序等外部应用的内容,有挖掘潜力否则不必要挖掘。
web应用:
网站php解析、下载的区别,体现在中间件如何解析文件类型(MIME类型)
数据库:
常规-本地一致
站库分离-另使用一台服务器的数据库
站库分离-云数据库应用
网站搭建:子域名
端口站
目录站
前后端分离:
前端:只展示数据,更新通过api
后端:实际处理数据
漏洞: 1、前端页面大部分不存在漏洞
2、后端管理大多在另一个站点(另一个域名)
3、获取到的权限可能不影响后端
集成类环境:
宝塔+phpstudy:由于安装时使用administrator权限安装集成类,导致继承了administrator权限。(宝塔目前相对安全)
原理:打包类集成化环境,权限配置可能会被控制。
docker:
影响:拿到权限只是docker的权限,不是真正的权限。
应对:docker逃逸
建站分配站:
1、托管
2、申请