#知识点
1、网站搭建前置知识
域名,子域名,DNS,网站协议:HTTP/HTTPS,SSL证书等
A、购买域名、购买服务器—注册阿里云
(购买的域名没有备案的话只能选择国外的服务器)
B、使用远程桌面连接服务器
(阿里云的安全组需要设置一下策略配置允许所有IP访问)
C、宝塔一键搭建网站工具:
在网站服务器安装宝塔
网页访问:
2、WEB应用环境架构类
组成:开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
理理解不同WEB应用组成角色功能架构:
开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascripts等
程序源码:根据开发语言分类;应用类型分类;开源CMS(程序源码的名字)分类;开发框架(别人写好了框架直接调用)分类等
中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等(支撑网站运行)
数据库类型:Access,Mysql,Mssql,Oracle,db2,Sysbase,Redis,MongoDB等(存储网站数据)
服务器操作系统:Windows系列,Linux系列,Mac系列等(网站运行)
第三方软件:phpmyadmin,vs-ftpd,VNc,ElK,Openssh等(方便管理网站)
3、WEB应用安全漏洞分类
程序源码问题导致:
SQL注入,文件安全,RCE执行,XSS跨站,CSRE/SSRE/CRLE
反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等
4、WEB请求返回过程数据包
请求返回过程数据包参考:
https://www.cnblogs.com/cherrycui/p/10815465.html
请求数据包,请求方法,请求体,响应包,响应头,状态码,代理服务器等
Request,Response,User-Agent,Cookie,Server,Content-Length等
正常请求:
代理:
完整流程:
例如:
请求包新闻回帖点赞重放数据包(新浪论坛使用bp重发数据包实现)
抓包工具截取数据包、重发数据包
#电脑访问和移动端访问User-Agent不同:
意义:测试不同访问结果时的电脑访问和移动端访问
#状态码:
3XX 跳转 处置过程 判断可有可无
5XX内部错误 服务器问题判断可有可无
文件夹 403存在 404不存在
文件 200存在 404不存在
HTTP状态码汇总:
https://blog.csdn.net/wyp1725726792/article/details/102741600
#远程代理:
购买之后访问网站IP不断变化。
作用:解决WAF封禁IP问题。