宝塔建站

以下步骤目前在VPS上操作

直接网上搜索宝塔官网进行下载window面板，然后安装宝塔面板

https://download.bt.cn/win/panel/BtSoft.zip

也可以直接用我这个下载链接

等待安装成功，安装成功后直接进入宝塔面板

登陆宝塔面板之后我们需要注册一个账号。然后进入宝塔面板安装我们所需要的程序。

直接安装推荐安装的，然后进入软件商店--》一键部署---〉选择zblog---》按照提示一步一步进行部署 ---〉传入木马文件 ---》蚁剑 /冰蝎 进行连接执行命令 ---〉宝塔不能执行命令

phpstudy建站

php study也是差不多的部署流程，部署完毕之后发现phpstudy搭建的网站传入木马文件之后可以进行连接并且执行命令，发现可以执行一部分命令，说明phpostyudy没有做太多防护限制

IIS建站

IIS搭建在上一篇我们已经说到了，我们也进行传入木马文件进行连接访问，发现我们的webshell工具可以进行连接并且可以执行命令但是大多数命令不能执行。

总体来说使用宝塔的安全性最高，一开始宝塔也是没有这种安全措施的，但是随着市场份额的增加导致宝塔默认加入了一定的防护措施，其实phpstudy也可以加入防护措施但是默认是不开启的。于此，我们说phpstudy不常用于生产环境。

docker也是我们所经常用的拉取镜像的虚拟化技术，这里我们不过多详解，详细关注微信公众号tools0，在里面我有写docker技术的运用了。

由于目前来看国内大部分的docker源已经用不了了。建议使用dk提供的dockerhub或https://docker.m.daocloud.io这个源可能是我用过最好用的了，大家可以看看。

具体docker的使用还是建议使用命令行linux界面会稍微简洁一点。当然图形化界面也可以。

我在以前写的文章中有说到，docker搭建的网站和目录都是隔离的，一个一个镜像都是一个空间，所以哪怕拿到了docker的权限也不能影响到服务器本身，当然现在网上有很多docker逃逸的教程。这一点不过多阐述，使用docker的好处明显就是安全性可用性高。

建站分配站的概念：

1、托管

2、申请

原理：

（1）利用别人的模版搭建网站

影响：

（1）实质安全测试非目标资产

意思是测试的一般不是他的网站，只是一个模版站，没什么实质的信息。

前后端分离

前端和后端分离，就和我们的站库分离差不多

如果不分离，那么相对而言效率会高一点，因为不需要通过api接口进行数据传输

如果前后端分离，那么相对而言安全性会高一点

原理：前端JS框架，API传输数据

影响：

（1）前端页面大部分不存在漏洞

（2）后段管理大部分不在同域名

（3）获得权限有可能不影响后端

静态网站

静态网站是一种不依赖于动态服务器处理的网页类型。它是指所有的网页内容在服务器上已经生成，用户访问时，服务器直接将这些内容发送给用户浏览器，浏览器无需额外的处理即可呈现网页内容。

意思就是我们修改页面内容需要修改代码，而不是通过点击修改数据库。

一般静态网站的特点就是单页，很多站库合并的网站都会被我们当做伪静态，这个其实不是绝对的，是一个概念的区别。但是纯静态网站还是很好判断的

原理：数据没有传输性（js传输不算）

影响：（无漏洞）

总结一下：

宝塔面板搭建网站：安全性比较高

IIS自己搭建网站：部分安全服务默认需要自己开启

phpstudy搭建网站：部分安全服务默认需要自己开启，默认不开

docker：虚拟化技术导致容器隔离，让安全性更高

建站分配站：利用别人的模版的搭建的网站，并且意思就是说测试的一般不是别人的网站，就只是模版站，没什么有价值的测试信息

前后端分离：前端JS框架，API传输数据

静态网站：数据没有传输性（js代码除外）