第一天
基础
棱角社区下载文件,就是小迪安全课件的使用案列1.[~]#棱角 ::Edge.Forum* (ywhack.com)
感觉以后还是手写算了,抄图片下来感觉记忆不深刻。
第二天 web应用环境架构类
重要的几项就是:
程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
中间件容器:IIS,APACHE,NGINX,Tomcat,Weblogic,Jboos,glasshfish等
数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,Mongodb等
服务器操作系统:windows系列,linux系列,mac系列等
第三方软件:phpmyadmin,vs-ftpd,vnc,elk,openssh等
又添加了个网站宝塔宝塔面板 - 简单好用的Linux/Windows服务器运维管理面板 (bt.cn)可以下载这些中间件容器,数据库类型啊等等
接下来是
web应用安全漏洞分类
SQL注入,文件安全,RCE执行,XSS跨站,CSRF/SSRF/CRLF,
反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等
web请求返回过程数据包参考:
HTTP协议数据包简单总结 - cherry_cui - 博客园 (cnblogs.com)
抓包的流程大部分懂了,但是没有工具,等哪天去找下。
抓包案列目前学到了:
请求包-新闻回帖点赞-重放数据包
请求包-移动端&pc范文-自定义ua头
返回包-网站文件目录扫描-返回状态码
数据包-waf文件目录扫描-代理服务器
没设置代理 浏览器-服务器
设置代理 浏览器-代理-服务器
127.0.0.1 8888 Burpsuite 监听127.0.0.1 8888
返回状态码判断文件是否存在
抓包工具
第二天
学习了为什么要抓包以及如何抓包,必须得下载那个burpsuite了。
这是抓包工具必须得配对的证书