Nginx泛域名解析实现二级域名多域名

前一段时间打算尝试一下微信开发，需要在阿里云上使用多个项目，于是查了一下资料，找到如下实现方案：

具体配置如下，找到/etc/nginx/sites-available/default文件，修改为如下：

接着解析域名，到对应的域名管理处新增加子域名的解析，添加一条记录。记录类型为A，主机记录为你的子域名（对应上面的目录），记录值为ip地址，其他保持默认即可。同时，如果之前添加了@或空的主机记录，记得删除，以免产生混淆。

重启nginx，等待域名解析生效即可。

其他问题 ：

如果按照上面的步骤后出现500错误，可能是Laravel没有对应的存储权限导致的，可以使用下面的命令来给storage赋予权限 chmod -R 777 storage

参考资料

0x01 前言

我作为一个彩笔，很荣幸成为签约作家团的一员，今天，就来讲讲越权，今天会举三个例子，一个代码审计，两个黑盒测试。

0x02 什么是越权

越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。

0x03 越权的危害

越权的危害在于一个账户可以增、删、改、查询其他账户的数据。在补天漏洞响应平台，涉及到数据的越权，是高危漏洞。(挖付费的时候可以着重测一下，特别是商城站收货地址那里，很容易出问题)

0x04 实战的案例(代码审计篇)

我们来看看百乐CMS百家 V27微商城越权查看订单漏洞，这是一个很经典的案例。

先定位到/system/shopwap/class/mobile/getorderphp

$orderid)); echo json_encode($orders);复制代码

从代码可知，获取参数id，然后直接带入到查询中，没有判断当前用户身份。这样，我们来测试一下

遍历ID参数获取订单数据

0x05 实战的案例(实战第一d)

以我补天某漏洞为例子

数字是看不清了，但是从页数上来看，我们这个账号的权限并不大，只有1700条数据的阅读权限，这太小了对吧

可以看到我们的权限现在已经很大了，上百万的信息。这就是黑盒测试中，存在的越权漏洞。现实中遇到这样的场景，可以测试一下。

0x06 实战的案例(实战第二d)

这回越权是后台越权，说到底，就是曾经有一个登录框摆在我的面前，我没有珍惜，扫了下目录，可以越权访问后台，管理员才追悔莫及，人世间最悲惨的事莫过于此，如果上天再给管理员一个机会，管理员一定会加上cookie验证。

首先我们得有一个登录框(那个网站打不开了，我给你们手绘一个登录框)

一般这种登录框，我都是直接爆破的，这次说越权，我们就换个姿势，我们扫目录(市面上的是扫目录工具多得是，啥御剑，AWVS，等等等等)这次听着多幸运，然后多幸运扫到了后台越权访问。

0x07 挖掘越权漏洞要注意的事项

一测试越权一般得有俩号。

二对userid。orderid等等ID要敏感，一旦发现，就多测测。

三某些厂商喜欢用纯数字的MD5作为用户的cookie，多注意发现。

四多使用抓包工具，多分析数据包，多修改数据包。

五多站在开发的角度去分析网站哪儿存在越权。

如果你不是做IT行业，估计对这个CNAME会比较陌生，先不说定义，先给你个场景。

当你上网时，在地址栏输入： >

本地子域名爆破指的是在本地环境中使用字典文件和程序工具进行子域名枚举的方式；在线子域名爆破则是利用在线工具在互联网上进行子域名的探测。它们各有如下优缺点：

本地子域名爆破的优点：

1 速度快：本地子域名爆破不需要访问网络，所以速度很快。

2 轻便： 本地子域名爆破工具体积一般较小，轻巧易携带，不会占用太多计算机资源。

3 可靠性高： 本地子域名爆破没有网络延迟的影响，可以更有效地枚举子域名。

本地子域名爆破的缺点：

1 范围较小： 本地子域名爆破只能获取本地计算机的子域名，无法获取互联网上的全部子域名。

2 字典限制： 如果字典文件不够全面，爆破出的子域名数量可能会比较有限。

3 无法识别CDN： 由于无法模拟真实的网络环境，本地子域名爆破无法精准识别CDN。

在线子域名爆破的优点：

1 范围广： 在线子域名爆破具有广泛的子域名爆破范围，能够爆破互联网上的大量子域名。

2 精准度高： 在线子域名爆破可以通过>

一个顶级域名可以设置多少个二级域名？这个问题相信已经被很多朋友问过了，每个人的回答都不一样，有人说5个有人说10个，今天就趁这个话题，给大家讲一下二级域名的解析；

从技术角度说，一个域名可以有无限个下级域名，例如一个顶级域名可以解析无限个二级域名，一个二级域名可以解析无限个三级域名，一个三级域名可以解析无限个四级域名，以此类推，但一个域名到底能解析多少个层级，这个问题到还没有测试过；但从子域名角度来说，每一个域名都可以解析无数个下级子域名；

但需要说明的是，每个注册商都不会给你提供无限个二级子域名的解析，如果不限制的话，用户解析域名过多会严重影响DNS服务器的性能，所以一般注册商都会给用户免费提供大约10个左右的二级子域名；

如果您需要的子域名很多可以尝试自己设置DNS服务器自己来给自己做二级解析。如果您的大部分二级域名的网站都在一个服务器上，您可以通过解析泛域名来解决二级域名过多的问题。

可以下载ename的域名工具查询:

>

以上就是关于Nginx泛域名解析实现二级域名多域名全部的内容，包括:Nginx泛域名解析实现二级域名多域名、怎么解决web越权漏洞、关于CNAME等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！