1、动态web:
可以接受客户端提交的数据,动态交互数据,就会有漏洞的存在
2、web大致框架:
(1)浏览器--->web服务器--->应用服务器--->数据库
(2)程序代码
3、http协议基础:
明文通信,没有内建的机密安全机制
https只能提高传输层安全,仍然可以截断信息
使用cookie,身份验证。服务器跟踪客户端根据cookie。客户端拿到的是SessionID,服务器是session。
4、http请求和响应:
content-length:(可用于验证是否暴力破解成功)
host:表示请求将会发送的目的地,(仅包括主机地址及端口号)
orgin:表示请求来自请求从哪里发起(通常仅包括协议及域名)
referer:表示其来自哪里的完整url(包括协议+域名+参数)