WEB架构安全分析 --实验

最新推荐文章于 2022-08-17 18:51:41 发布
最新推荐文章于 2022-08-17 18:51:41 发布
阅读量481 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chenamao/article/details/107525449
版权
一、利用telnet 模拟浏览器发送HTTP 请求,测试多种请求方法

建议使用kali里边的telnet模拟浏览器发送http请求

但是因为自身电脑原因我用的win2007进行操作

首先需要开启win2007的telent服务

  1. 在终端输入telnet 192.168.137.141 80 (注此网址填写网页网址)

  2. ctlr + ] 打开回显

  3. 回车再次回车

☀ GET请求测试:通常用于请求服务器发送某个资源

![(https://img-blog.csdnimg.cn/20200722230922944.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NoZW5hbWFv,size_16,color_FFFFFF,t_70#pic_center)
在这里插入图片描述

☀ POST请求测试:通常用于表单提交或文件上传等功能
在这里插入图片描述

这个是个错误的 不支持此请求 可能是因为我用的windows系统么

☀ HEAD方法:与GET方法类似,但在服务器响应只返回头部

在这里插入图片描述

☀ PUT方法 :会向服务器写入文档(危险方法)

☀ DELETE方法:请求服务器删除指定的资源(危险方法)

☀ TRACE方法: 回显浏览器的请求

☀ OPTIONS方法:用来测试服务器所支持的方法

二、利用Burp 分析cms 网站后台登录过程
  1. 开启两台虚拟机win2008 / win2007
  2. 虚拟机2008 搭建 phpStudy

注:phpStudy 是⼀个套件,集成开发环境,包括Web 服务器,后端脚本语⾔,数据库,⼀键安装。(https://www.xp.cn/ )

建议使用 php-5.4.45版本

  1. 虚拟机2008安装一个网站

    例:cms.zip ,将源代码解压放到Web根目录(C:\phpStudy\WWW)下,访问的时候警告提示无法连接数据。

    解决:修改网站数据库配置文件

    C:\phpStudy\WWW\cms\include\database.inc.php


    //数据库配置⽂件
define ('DB_TYPE','mysql');
define ('DB_HOST','localhost');
define ('DB_USER','root');
define ('DB_PWD','root');//MySQL 数据库的密码为root,
//此处密码的需要根据MySQL 的配置来填写
define ('DB_NAME','cms');
define ('DB_CHARSET','utf8');

    注:安装 npp.7.5.6.Installer软件 更方便进行修改配置文件

    创建数据库

在这里插入图片描述

   mysql -uroot -proot
   create database cms;# 创建数据库
   use cms;# 选择数据库
   source C:/phpStudy/WWW/cms/install.sql;#导⼊数据库⽂件
  1. win2007环境部署

    ☀ 安装java环境(jdk-8u131-windows-x64_8.0.1310.11.exe ( 安装包)

    ☀ 安装 火狐浏览器 并添加扩展插件

在这里插入图片描述

渗透测试神器 - hackbar

代理切换⼯具 - Proxy Switcher and Manager

安装渗透测试神器–BurpSuite

(Burp Suite 的作⽤就是作为⼀个代理服务器,拦截、修改或监听浏览器与服务器之间的HTTP 流量,可以从HTTP 流量中分析⽬标⽹站的安全问题。)

运⾏该⼯具需要java 环境。
☀ 从启动器启动BurpSuite即可。
☀ 在同级⽬录下新建⼀个bat 脚本,命名为 startbp.bat ,⽂件的内容如下,

java -noverify -Xbootclasspath/p:burp-loader-keygen-2020_2_1.jar -jar burpsuite_pro_v2020.2.1.jar

双击此bat 脚本,即可启动bp。
burp 的使⽤,要从核⼼模块 Proxy 模块说起。
把burp 作为⼀个 中间⼈ ,转发浏览器与服务器之间的HTTP 流量。
☀ Burp 作为 中间⼈ ,转发浏览器到服务器的流量,开启代理服务器。
☀ 浏览器流量,通过Burp 发送到Web 服务器。

其他⼯具
notepad++
解压软件
psiphon3.exe

注意问题:

☀ 启动Burp Suite 的bat 脚本可以⽤记事本来编写,脚本的内容在启动器中。启动器是⽐较⼩的jar包。

☀ Bp 的压缩包⽤压缩软件解压,得到两个jar 包,这两个jar 包要⽤java 程序来运⾏的,否则有的时候会⾃动解压。

☀ 建议⼤家直接下载Kali 官⽹封装好vm 虚拟机,直接解压运⾏,不需要再次安装vm-tools。

☀ 系统没有激活,没有影响。

☀ ⼯具尽量安装在虚拟机中。

5.win2008开启 phpstudy 并确定本机ip地址
6.登陆前抓包获取

☀ win2007 开启火狐浏览器进行配置代理切换工具

[

☀ 运行burp

在这里插入图片描述

☀ 火狐浏览器访问win2008网址

在这里插入图片描述

☀ burp获取信息

在这里插入图片描述

关闭后点击后台管理出现登录页面

burp 再次开启拦截 输入密码进行登陆

获取登录信息
在这里插入图片描述

注:响应报⽂由状态⾏、响应头、响应正⽂三部分组成。

​ **状态⾏:**响应报⽂的第⼀⾏
​ **协议/版本:**HTTP/1.1
​ **响应状态码:**200
​ **描述短语:**OK
​ **响应报头:**响应报⽂第⼆⾏开始到第⼀个空⾏为⽌的所有内 容,其中包含了关于HTTP响应的重要字段。
​ **响应正⽂:**响应报⽂从第⼀个空⾏开始到最后的所有内容。 服 务器返回资源的内容,即浏览器接收到的HTML 代码。

​ *状态代码:
在这里插入图片描述

三、利用Burp 抓到百度首页HTTPS 数据包,并观察协议以及版本

1.win2007搜素百度网址 会出现警告提醒 选择高级设置继续访问即可

2.burp开启抓取

可发现协议版本为 HTTP/1.1

在这里插入图片描述

【拓展】开启phpstudy 中apache 的put 和delete 方法,并进行测试

敬请期待。。。

Chenamao
关注
【系统架构设计师-2014年真题】案例分析-答案及详解
数据知道的博客
09-13 1680
MVC架构风格最初是Smalltalk-80中用来构建用户界面时采用的架构设计风格。其中M代表模式(Model),V代表视图(View),C代表控制器(Controller)。在该风格中,模型表示待展示的对象,视图表示模型的展示,控制器负责把用户的动作转成针对模型的操作。模型通过更新视图的数据来反映自身的变化。在本系统中,模型(M)代表监控组件、视图(V)代表控制终端、控制器(C)代表管理模块。【参考答案】
Web网络安全攻击分析
qq_36986015的博客
03-20 794
1. Web应用的概念 Web应用是由动态脚本、编译过的代码等组合而成,通常架设在Web服务器上,用户使用HTTP协议向Web服务器发送请求,Web应用访问后台的数据库等返回数据给用户; 典型的Web应用是三层架构模型:Web层(View)、业务逻辑层(Controller、Service)、数据层(Model) 发生Web安全问题一般出现在Web层和业务逻辑层,因为Web层和业务逻辑...
Web安全(上)---Web架构分析
weixin_34326429的博客
05-13 292
Web安全---架构分析  Jack zhai 一、 Web安全不仅仅是互联网才需要  Web服务是指采用B/S架构、通过Http协议提供服务的统称,这种结构也称为Web架构,随着Web2.0的发展,出现了数据与服务处理分离、服务与数据分布式等变化,其交互性能也大大增强,也有人叫B/S/D三层结构。互联网能够快速流行得益于Web部署上的简单,开发上简便,Web网页的开发大军迅速超过了以往任何计...
web架构安全分析
wxh的博客
12-20 4245
web工作机制 网页、网站 我么可通过浏览器上网看到精美的页面,一般都是经过浏览器渲染的.html 页面,其中包含css 等前端技术。多个网页的集合就是网站。 Web容器 Web 容器,也叫Web 服务器,主要提供Web 服务,也就是常说的HTTP 服务。 常见的Web 容器有:Apache/IIS/Nginx 等。 静态页面 静态页面,都是些.html 文件,是纯文本文件。这些文件中包含html 代码。 中间件服务器 以上这种,只能单向给用户战术信息。随着Web 的发展,信息要双向流..
Web架构安全分析
R641295447的博客
07-21 186
Web架构原理 用户使用通用的Web浏览器,通过接入网络连接到Web服务器上。用户发出请求,服务器根据请求的URL的地址连接,找到对应的网页文件,发送给用户,两者对话的“官方语言”是Http。网页文件是用文本描述的,HTML格式,在用户浏览器中有个解释器,把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。 ...
Web架构安全分析web工作机制、url、http请求响应报文、bp抓包、同源策略)
Pluto.的博客
12-14 1166
文章目录Web架构安全分析一、web工作机制1. 简述用户访问一个网站的完整路径2. web系统结构3. url4. HTTP报文分析5. http请求方法 Web架构安全分析 一、web工作机制 1. 简述用户访问一个网站的完整路径 网址–>本地缓存–>host文件–>IP/ARP–>DNS–>IP–>网关–>路由–>对方主机–>访问80、443–>建立连接(三次握手)–>HTTP数据包–>数据响应–>.html文件–>.
Web数据可视化》-教学大纲.pdf
04-04
Web数据可视化》课程是针对大数据技术类、商务数据分析与应用、电子商务等相关专业设计的一门必修课程,旨在培养学生在Web环境下进行数据可视化的能力。这门课程共64学时,包括31学时的理论教学和33学时的实验操作...
Web应用大型实验报告-基于ssh的java-web网站设计.docx
最新发布
07-04
通过这次大型实验,学生不仅能学习到SSH框架的实际应用,还能深入了解Web应用的开发流程,包括需求分析、设计、编码、测试和部署等各个环节,这对于提升他们的专业技能和解决实际问题的能力具有重要意义。
Web应用大型实验报告-基于ssh的java-web网站设计.pdf
07-02
1. **Struts框架**:Struts是一个MVC(Model-View-Controller)架构的Java Web框架,主要负责控制层。它使得业务逻辑和表现层分离,提供了一种标准化的方式来处理HTTP请求和响应。Struts通过Action类处理用户请求,...
01Web架构-Web架构安全分析
qq_28241709的博客
07-21 367
Web架构-Web架构安全分析 Web工作机制 网页、网站+web容器+中间件服务器+数据库 网页:经过浏览器渲染的HTML页面,包含css与div等前端技术 网页分为静态网页和动态网页。 静态网页:都是一些.html文件。HTML(超文本标记语言)在浏览器中运行。只能将信息传递到浏览器、客户端、用户,没有交互功能。 动态网页:利用flash、Php、Asp、Java、JavaScript等技术在网页中嵌入一些可以运行的脚本,用户浏览器在解释页面时,遇到脚本就启动运行它。实现了信息的双向流动。 网站:多个网
[网络安全学习篇50]:Web架构安全分析
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-25 5138
引言:我的系列博客[网络安全学习篇]上线了, Web 工作机制 网页、网站 Web容器 静态页面 中间件服务器 数据库的出现 HTTP 协议概述
Web安全架构分析及思路拓展
qq_43119556的博客
07-10 545
Web组成架构: 操作系统:Windows Mac Linux 搭建平台:Iis Apache Tomcat uginx 脚本语言:asp php aspx jsp 数据库:access nssql oracle postsql 那么问题: 漏洞产生层面? 对web安全进行渗透测试,就是对操作系统,搭建平台,脚本语言,数据库进行一些安全测试,操作系统就是我们对应的Window...
Web常见安全问题分析
学习分享平台
08-25 446
Web常见安全问题分析 1. 替换默认的404、500错误页面提示; 统一错误页面 默认的错误页面有可能会暴露Tomcat、Nginx、MySQL版本等信息,可能会导致黑客针对你的特定环境版本找特定的漏洞来攻击你,避免方式就是拦截异常页面,信息,重定向到自定义错误页面中;在网页中尽量不暴露特定的服务端内部软件版本号。 SpringBoot 使用自定义错误页面 2. 上传文件要加前、后台双重验证; 上传文件时,加上类型校验,比如docx、doc或者pdf,避免将所有的文件一股脑上传。因为某些文件可能
Web安全漏洞全面分析
purpleforest的专栏
05-07 5140
   1 当前 Web 安全现状  互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。  然而,现实世界中,针对网站的攻击愈演愈烈,频频得手。CardSystems 是美国一家专门处理信用卡交易资料的厂商。该
常见六大Web安全攻防解析
ll990207的博客
08-17 733
转载于:https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html 前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行
Burp Suite Professional 2020保姆级详细安装手册
weixin_42857656的博客
01-05 9165
Burp Suite Professional保姆级详细安装手册 介绍一下Burp Suite Professional是做啥的? Burp Suite Professional 2020是一款新推出的全新版本渗透测试工具软件,它主要是用于测试网络的安全性,操作简单,使用也很方便,帮助用户快速、有效的进行网络安全测试。 使用Burp Suite Professional软件前需要有java环境 进入主题,让我们来安装软件吧 破解教程 1.拿到软件安装包,解压文件,点击burp-loader-keyge
BurpSuite笔记
weixin_42695055的博客
08-17 481
BurpSuite笔记
BurpSuite工具-HTTP协议详解部分(不懂就查系列)
学习、分享、交流
05-22 1689
HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(W W W = W orld W ide W eb)服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。
安全Web服务架构:执行访问控制策略的实现与探讨
6. **案例分析实验结果**:可能提供了实际应用场景中的例子或者性能评估,以证明该体系结构的有效性和实用性。 这篇文章为理解Web服务安全的关键问题提供了深入的视角,并为设计和实现安全的访问控制策略提供了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值