【安全牛学习笔记】http特点

最新推荐文章于 2021-12-01 15:50:07 发布
最新推荐文章于 2021-12-01 15:50:07 发布
阅读量332 收藏
点赞数
分类专栏: 安全,信息安全,漏洞扫描 文章标签: 安全 javascript 漏洞 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edu_aqniu/article/details/74567695
版权

1.web页面分类动态web

    应用
    数据库
    根据用户的输入返回不同的结果

静态web2.web攻击面

Network
OS
WEB ServerApp serverWeb ApplicationDatabaseBrowser

3.http协议特点明文

无内建安全机制
嗅探或代理截断可查看全部明文信息https只能提高传输层安全,并不能完全防范中间人攻击

  无状态
    每一次通信都是一个独立的过程

使用cookie/session跟踪用户会话提高用户体验,但是增加了攻击向量

cycle一次请求/响应称为一个cycle

header
Set-Cookie 服务端发送给客户端的sessionID

Content-Lengthbody 记录body部分的长度Location 重定向
Cookie 证明用户状态的信息
Referrer 发起请求前所在的页面

4.状态码

100 表示服务器还有后续处理200 请求成功
300 重定向
400 客户端请求错误

401 需要身份验证403 拒绝访问
404 目标未发现
500 服务器内部错误 

爱学习的小牛
关注
专栏目录
安全学习笔记】Kali Linux渗透测试方法
edu_aqniu的博客
11-09 2391
1.安全问题的根源 ①由于分层思想,导致每个层次的相关人员都只关心自己层次的工作,因此每个人认识系统都是片面的,而安全是全方位的,整体的,所以造成安全问题。 ②技术人员追求效率,导致只追求功能实现,而很容易忽略安全性的工作 ③由于人都是会犯错误的,因此最大的安全威胁是人,所以无法避免安全隐患,但可以降低安全风险 软件安全生命周期: 需求——>设计——>编码——>测试—
kali实战-被动信息收集(安全学习笔记)
h0ryit的博客
05-22 3258
被动信息收集 公开渠道可获得的信息 与目标系统不产生直接交互 尽量避免留下一切痕迹 OSINT 美国军方:http://www.fas.org/irp/doddir/army/atp2-22-9.pdf 北大西洋公约组织:http://infoemation-retrieval.info/docs/NATO-OSINT.html 信息收集内容 IP地址段 域名信息 邮件地址...
安全学习笔记】APPSCAN
weixin_33858249的博客
09-27 496
APPSCNAWatchfire APPScan, 2007年被IBM收购, 成为IBM APPScan扫描过程 探索阶段 测试阶段第一个过程发现新的URL地址,下一个扫描过程自动开始向导方式完全配置APPSCNAGlass box 相当于Acusensor Agent收集服务器端源代码信息和其他数据 支持JAVA、.NET两种平台Web服务器 ...
安全渗透测试笔记---------------前言
WEL测试
09-07 725
前言          安全渗透测试是测试中比较难入门的测试,要求比较高!我在写这篇笔记前,已经掌握了测试相关的知识,python的编程、性能测试、接口测试、Shell命令、数据库等知识!     该笔记是为了帮助想学习或了解安全渗透的测试人员准备,本人也是刚接触安全渗透测试,对该技术相当感兴趣,因此想把自己的学习记录,整理成一篇文档!本人有做笔记的习惯,学习计划分为三个部分:     第一
安全学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1634
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
(三)HTTP-安全
lichao000124的博客
05-17 473
HTTP-安全HTTPS/SSL/TLS对称解密和非对称加密 HTTP存在的一些缺点: 无状态:通过加入Cookie后得到解决 明文 不安全 HTTPS/SSL/TLS HTTP在整个传输过程完全透明,任何人都能够在链路中截获、修改或者伪造请求/响应报文,数据不具有可信性。 通常任务,如果通信过程具备了四个特性,即机密性,完整性,身份认证和不可否认。 机密性:是指对数据的保密,只能由可信的人访问,对其他人是不可见的秘密。 完整性:数据在传输过程中没有被篡改, 身份认证:确认对方的真实身份, 不可否认
安全学习笔记】密码嗅探
edu_aqniu的博客
10-10 921
密码嗅探                     二、三层地址                     - IP网络到网络               - MAC主机到主机          交换机与HUB                      - HUB全端口转发              - 交换机根据学习地址转发     - 混杂模式抓包   
安全学习笔记】CCNA简介
edu_aqniu的博客
11-09 1403
课程介绍 1.CCNA CCNP CCIE 2.目标: (1)掌握小型网络的安装、操作及排障所需的知识及技能 (2)安装、造作及排障中型规模网络 (3)WAN技术 3.课程安排 4.思科图标和符号 5.思科职业认证 构建简单的网络_探索网络的功能_几种拓扑 一、网络 1.常见的物理组件:路由器、交换机、网络查
go学习笔记
02-24
Go语言是一种开源的编程语言,它具有简洁、快速、安全并且适用于现代多核处理器的分布式系统的特性。Go语言的诞生源自于Google公司,由Robert Griesemer、Rob Pike以及Ken Thompson三位大共同研发,旨在提高系统...
新版数通认证 HCIA HCIP HCIE DATACOM 大知识笔记
最新发布
05-20
### 新版数通认证 HCIA HCIP HCIE-DATACOM 大知识笔记解析 #### 一、概述 华为的数通认证体系是全球范围内备受认可的专业认证之一,覆盖了从入门级到专家级的不同层次。HCIA、HCIP 和 HCIE-DATACOM 分别代表了三...
安全学习笔记】拒绝服务攻击工具-NMAP、匿名者拒绝服务工具包(匿名者发布的DoS工具)、其他拒绝服务工具-XOIC、HULK、DDOSIM、GoldenEye
edu_aqniu的博客
10-17 6591
拒绝服务攻击工具                                                   Nmap                                                                    - grep dos /usr/share/nmap/scripts/script.db | cut -d "\"" -f 2
安全学习笔记】被动信息收集
edu_aqniu的博客
11-22 1239
被动信息收集: 基于公开渠道可获得的信息,与目标系统不产生直接的交互,尽量避免留下一切痕迹。 开源智能文档: 美国军方: http://www.fas.org/irp/doddir/army/atp2-22-9.pdf 北大洋公约组织:http://information-retrieval.info/docs/NATO-OSINT.html 信息收集的三大阶段: ①passive r
安全学习笔记】SNMP放大攻击
edu_aqniu的博客
10-16 3100
SNMP放大攻击                                                              简单网络管理协议                                                              - Simple Network Management Protocol                  
如何保证http传输安全
热门推荐
码农成长记
11-08 2万+
目前大多数网站和app的接口都是采用http协议,但是http协议很容易就通过抓包工具监听到内容,甚至可以篡改内容,为了保证数据不被别人看到和修改,可以通过以下几个方面避免。 重要的数据,要加密,比如用户名密码,我们需要加密,这样即使被抓包监听,他们也不知道原始数据是什么(如果简单的md5,是可以暴力破解),所以加密方法越复杂越安全,根据需要,常见的是 md5(不可逆),aes(可逆),自由组合
关于HTTP协议的安全隐患问题
a15929748502的博客
03-26 3528
1.错误配置导致安全隐患 服务器存在允许PUT方式和MOVE方式,这时我们可以通过PUT方式传一个webshell.txt,然后再结合MOVE方式结合解析漏洞,这样就可以很快拿到网站的webshell. 2.HTTP头中安全隐患 在PHP中通过使用$_SERVER["HTTP_CLIENT_IP"]或者$_SERVER["HTTP_X_FORWARDED_FOR"]来获取IP。 因此,我们...
安全学习笔记】提权
edu_aqniu的博客
10-30 2122
Windows • user • Administrator • System Linux • User • Root windows提权 将admin提权为system net user命令  查看账户 Guest 用户,权限很小 HelpAssistant 用户,远程协助账号 Windows system账号 • 系
安全学习笔记】kali的安装与配置
edu_aqniu的博客
11-08 1724
vbox装kali虚拟机 0、    虚拟影像的选择 由于kali在某些软件(ferret)上存在32位与64位的区别,为了兼容32位软件我选择了32位映像 1、vbox下载与安装 vboxde下载与安装就不细讲,毕竟与linux没太大关系,但安装后的tools我现在还没安装,以后会安装补上学习记录的 2、先下了个vbox的翻译文档(放在学习记录文件夹了),我
安全学习笔记】Arachni
edu_aqniu的博客
09-25 4290
root@kali:~# apt-get install kali kali                  kali-desktop-lxde      kali-linux-pwtools kali-archive-keyring  kali-desktop-xfce      kali-linux-rfid kalibrate-rtl         kalign   
《上海市数据条例》公布后,以下相关岗位正在变得很抢手
edu_aqniu的博客
12-01 1万+
11月25日上海市十五届人大常委会第三十七次会议表决通过《上海市数据条例》(以下简称《条例》,全文请见“阅读原文”),以促进数据利用和产业发展为基本定位,聚焦数据权益保障、数据流通利用、数据安全管理等三大环节,条例增加1个新名词:数据财产权益、1个最关注:个人信息特别保护,条例将于2022年1月1日起施行。 关于条例: 明确了数据处理是指数据的收集、存储、使用、加工、传输、共享、开放、流通等;数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 上海
提升Web编程安全:实战笔记与策略
"在长达6年的Web编程经历中,作者意识到自己对Web安全的深入学习有所欠缺,特别是在认证和授权之外。为了弥补这一空白,作者阅读了《Web安全设计之道》一书,尽管部分内容来源于微软官方文档,但作者认为这本书还是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值