目录
网站搭建前置知识
域名,子域名,DNS,HTTP/HTTPS,证书等
域名到网上比如阿里里去进行购买,如果没有备案,可以选择国外,或者香港的服务器。
WEB应用环境架构类
理解不同EB应用组成角色功能架构:
开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
开发语言:a3p,php,a3px,jsp,java,python,.ruby,go,html,javascript等
程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
数据库类型:Acce33,My3g1,M33gl,Oracle,db2,Syba3e,Redis,MongoDB等
服务器操作系统:Windows系列,Linux系列,Mac系列等
第三方软件:phpmyadmin,vs-ftpd,Nc,ELK,Openssh等
可以使用一个名叫宝塔的软件,这是一个集成化软件,可以自动安装程序源码,中间件容器,数据库等,很方便。
从上到下依次为,中间件,数据库,第三方软件,脚本语言,第三方软件,第三方软件。
WEB应用安全漏洞分类
SQL注入,文件安全,RCE执行,XSS跨站,CSRE/SSRE/CRLE,反序列化,逻辑越权,未授权访问,XE/X4L,弱口令安全等
常见的这些漏洞产生于源码语言,而源码语言是由脚本语言开发的。
WEB请求返回过程数据包参考:
https://www.jianshu.com/p/558455228c43
https://www.cnblogs.com/cherrycui/p/10815465.html
请求数据包,请求方法,请求体,响应包,响应头,状态码,代理服务器等
Request,Response,User-Agent,Cookie,Server,Content-Length
请求服务器,服务器返回。比如点赞,点赞后返回点赞数加一。对页面右键,最下面有个检查,检查里有个网络图标,里面可以看到各种数据包,当我们点赞后就会产生点赞数据包。
使用抓包工具后可以看到数据包,其中post代表请求方法。cookie是用户信息。response headers是返回包,request headers是请求包。
对于点赞来说,我们点赞后,抓包工具可以抓到这个数据包,然后我们不断发送这个数据包,可以实现不断点赞的效果。
中间的是代理。 比如我们的抓包工具就是代理。
举例:一个网站,在手机上访问时和在电脑上访问时网址不同,是因为访问这个网站是发送的数据包不同,那么我们如何,在电脑上访问到与手机相同的那个网址呢?我们可以在电脑上开一个手机模拟器,然后在手机模拟器上使用抓包工具打开那个网址,抓到那个数据包,然后将抓到的那个数据包放入电脑端的抓包工具里发送出去,这样我们就能在电脑端访问到手机端的那个网址。
还可以只更改user-agent。
HTTP状态码
200,请求成功
301,资源(网页等)被水久转移到其它URL
404-清的资源(网页等)不存在
500-内服务器错识
3和5开头不能判断文件是否存在,但是我们也要接收到这个信息。
远程代理
可以借用其他的一些工具,比如快代理,使用隧道代理后可以帮我们一直切换ip地址,可以解决拉黑ip和封ip的问题。