02-Web应用_架构构建_漏洞_HTTP数据包_代理服务器

最新推荐文章于 2024-11-01 10:18:14 发布
最新推荐文章于 2024-11-01 10:18:14 发布
阅读量1.5k 收藏 18
点赞数 17
分类专栏: 小迪安全 文章标签: 前端 架构 http 小迪安全 安全架构 小迪
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62670778/article/details/136043417
版权

Web应用_架构构建_漏洞_HTTP数据包_代理服务器

一、网站搭建前置知识

1.1 域名

  • 是由一串用点分隔的名字组成的,互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。

1.2、子域名

  • 子域名是主域名的下一级域名,通常是大型公司为了满足不同产品或业务需求在主域名基础上发展而来。 子域名一般会根据不同用途在主域名前面加上不同的前缀构成。 子域名根据主域名前面的前缀数量,又可分为二级子域名、三级子域名和多级的子域名。

1.3、DNS

  • 域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
    在这里插入图片描述

二、web应用环境架构类

  • 理解不同WEB应用组成角色功能架构:
    • 开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
      • 开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
      • 程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
      • 中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
      • 数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等
      • 服务器操作系统:Windows系列,Linux系列,Mac系列等
      • 第三方软件:phpmyadmin,v3-ftpd,VNC,ELK,Openssh等

三、web应用安全漏洞分类

  • SQL注入,文件安全,RCE执行,XSS跨站,CSRE/SSRE/CRLE,反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等

四、web请求返回过程数据包

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、演示案例

5.1、架构-Web应用搭建-域名源码解析

5.2、请求包-新闻回帖点赞-重放数据包

  • 点赞,发现只能点一次:
    在这里插入图片描述

  • 抓取到点赞的数据包并发送到repeat模块:
    在这里插入图片描述

  • repeat模块不断的点击send按钮:
    在这里插入图片描述

  • 点赞数增加:
    在这里插入图片描述

5.3、请求包-移动端&PC访问-自定义UA头

  • 移动端访问:
    在这里插入图片描述

    • UA头:
      在这里插入图片描述

  • PC访问:
    在这里插入图片描述

    • UA头:
      在这里插入图片描述

5.4、返回包-网站文件目录扫描-返回状态码

常见状态码
1**:提示信息-表示请求已收到,继续处理
2**:发送成功(200)
3**:重定向(302)
4**:客户端错误
  400.发送请求有语法错误
  401.访问页面没有授权
  403.没有权限访问该页面
  404.没有该页面
5**:服务端错误
  500.服务器内部异常
  504.服务器请求超时,没有返回结果
  • 文件夹 403 存在,404不存在
  • 文件 200 存在,404不存在

5.5、数据包-WAF文件目录扫描-代理服务器

月亮今天也很亮
关注
专栏目录
漏洞挖掘】——86、Web Service安全测试
Fly_鹏程万里
06-13 141
Web Service也被称之为"XML Web Service",它是一种跨语言和跨平台的远程调用(RPC)技术,主要通过使用标准的Internet协议来提供和接收数据的方式,允许不同的应用程序在不同的平台和编程语言之间进行通信,Web Service通常使用基于标准的XML(可扩展标记语言)格式来编写和传输数据,它们使用HTTP(超文本传输协议)作为通信协议并支持使用SOAP、REST等协议进行通信。
第二天:基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器
qq_56414082的博客
10-30 369
这里在国内没有经过备案,域名只能在国外解析。地域中域名没备案选择国外的。根据需求购买适合的服务器。将域名添加到服务器。
Day2 基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器(1)
2401_84164576的博客
04-09 651
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Day2 基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器
m0_73738451的博客
02-09 441
开发语言:asp、php、aspx、jsp、java、python、ruby、go、html、javascript 等。数据库类型:Access、Mysql、Mssql、Oracle、db2、Sybase、Redis、MongoDB 等。中间件容器:IIS、Apache、Nginx、Tomcat、Weblogic、Jboos、glasshfish 等。第三方软件:phpmyadmin、vs-ftpd、VNC、ELK、Openssh 等。火狐设置代理:【设置】-【高级】-【网络】-【设置】
第二天:基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器
m0_51322401的博客
11-23 656
通过这个接口我们就能实现对计算机的控制,比如我们常见的 ssh 就是执行的 Shell 命令实现对远程对服务器的控制。在这种模式 下,shell不与你进行交互,如果用反向 Shell,那就是在 A 上先开启一个监听端口,然后让 B 去连接 A 的这个端口,容器:容器是中间件的一种,处在操作系统和应用软件之间,给处于其中的应用程序组件提供一个环境,我们都知道 Shell 的概念吧,简单来说,Shell 就是实现用户命令的接口,交互式模式就是在终端上执行,shell等待你的输入,并且立即执行你提交的命令。
Web应用&架构搭建&漏洞概念&HTTP
weixin_54882883的博客
05-03 1595
知识点: 1、网站搭建前置知识 2、WEB应用环境架构类 3、WEB应用安全漏洞分类 4、WEB请求返回过程数据包 网站搭建前置知识 域名,子域名,DNS,HTTP/HTTPS,证书等 域名 域名(Domain names)是互联网基础架构的关键部分。它们为互联网上任何可用的网页服务器提供了方便人类理解的地址 子域名 子域名是网站的一个完全独立的部分,它仍然在同一个主域名下运行。例如,你的主域名可以是“.wei.com”,而你的博客可以是子域名“hz.wei.com”。可以将子域名看作是主域名的一
Web应用防火墙(WAF)的架构与实现
测试0901-1
04-14 1312
1. 目的为了保护Web服务安全稳定,部署Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting, XSS)、网页木马上传、命令/代码注入、文件含、敏感文件访问、第三方应用漏洞攻击、CC...
17.代理_CDN_网络安全
山兔的博客
10-30 2125
代理服务器(Proxy Server) 类似于房产中介,因为我们有时候无法直接找到服务器,就好比我们无法一下子找到房东,所以我们要借代理服务器来找到我们想要的服务器(就好比上外网(google.com)) ◼ 特点 本身不生产内容 处于中间位置转发上下游的请求和响应 ✓ 面向下游的客户端:它是服务器 ✓ 面向上游的服务器:它是客户端 正向代理、反向代理 ◼ 正向代理:代理的对象是客户端 我ABC客户端找到你,让你代理服务器帮我干一件事情 ◼ 反向代理:代理的对象是服务器 选择访问哪一个服务器,帮服
网络安全协议分析技术教程_2024-07-10_13-26-46
kkchenjj的博客
07-10 883
TCP/IP协议族是Internet的基础,由多个协议组成,用于在不同网络之间传输数据。其中,TCP(传输控制协议)和IP(互联网协议)是核心协议。
Linux-4.4-x86_64 内核配置选项简介
嵌入式系统开发
12-19 5923
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE交叉编译
信息安全_数据安全_The network is going dark why de.pdf
08-22
大数据安全架构关注如何构建安全、可扩展和高效的大数据处理系统,以应对大数据环境下的各种安全挑战。 安全人才必须了解和掌握网络加密技术的趋势,比如TLS 1.3的出现。TLS(传输层安全协议)是一种广泛使用的加密...
38-5 Web应用防火墙 - WAF绕过基础知识及Web Server(服务器)层绕过
weixin_43263566的博客
05-04 242
Bypass WAF(Web Application Firewall)实际上是利用位于 WAF 设备之后处理应用数据包的硬件/软件特性。这些特性使得攻击载荷可以绕过防护,而不被WAF检测到。这些特性就像是特定的场景,一些已被研究人员发现,一些则尚未被发现,等待研究人员挖掘。当攻击载荷满足这些场景时,如果WAF没有考虑到这些场景,我们就可以利用这些特性绕过WAF。假设客户端访问URL为:http://www.example.com/1.php?该请求的目的是获取服务器上数据库中id为1的记录。
做一个能适配「手机」的网站需要注意什么
最新发布
illidri的博客
11-01 251
像现在主流会采用 H5 响应式布局,仅涉及前端的开发工作,代码量少,效果佳,是一种性价比比较高的选择,如果题主有意要进行网站建站,特别是想要手机浏览也有一定效果,可以选择这种~当然还有一种类似的方式叫自适应布局,俗称 AWD(AdaptiveWebDesign),同样是检测视口分辨率,判断不同尺寸和分辨率是什么设备,从而返回不同布局页面。最根本的区别在于,响应式页面的代码量少,但质量要求高,根据不同分辨率自动调整排版,而自适应页面需要根据不同设备准备不同的页面,这样前期的开发工作就大了很多。
前端 常见开发工具使用
weixin_45534301的博客
10-31 460
【代码】前端 常见开发工具使用。
JavaScript中this的指向和改变this指向的方法 - 2024最新版前端秋招面试短期突击面试题【100道】
everfoot的博客
10-29 680
了解this的工作原理是掌握JavaScript的关键之一,特别是在编写复杂的应用程序时。正确使用this可以避免许多常见的问题和错误。在实际开发中,合理选择不同的绑定方法,可以让你的代码更加灵活和易于维护。掌握这些this的知识点将帮助你在前端面试中脱颖而出!祝你顺利上岸!
Google Recaptcha V2 简单使用
吴家健ken的博客
10-30 290
Google Recaptcha V2 简单使用
Canvas字体高度计算与PDF高度如何统一
aa_qq110的专栏
10-31 324
如果前端使用Canvas生成图片,后面使用nodejs生成PDF,但PDF中没有计算boundingBoxAscent 和boundingBoxDescent的方法,这时可以简单将字的高度前后台统一为字体高度,而不使用基线的方式计算。请懂的大神指出有没有什么问题,有没有更好的方式。
前端JS去重的多种方法
Front end development engineer
10-30 345
前端开发中,去重操作是非常常见的。无论是处理用户输入、数据请求还是渲染页面,都可能需要对数组或对象进行去重。下面将详细介绍几种常见的前端JS去重方法,并分析它们的优缺点。以上就是前端JS去重的几种常见方法。每种方法都有其优缺点,选择哪种方法取决于具体的需求和场景。如果需要兼容性好且可以保留顺序,可以使用filter()、reduce()或for循环;如果追求性能和简洁性,可以使用Set或Map。对于对象去重,Map是最好的选择。
HTML入门教程3:HTML元素
软考鸭
10-29 524
HTML元素由开始标签、结束标签和内容组成。开始标签用于指定元素的名称,结束标签用于标记元素的结束,而内容则位于开始标签和结束标签之间。HTML元素可以含属性,这些属性提供了关于元素的额外信息或对元素进行样式设置。通过学习和掌握HTML元素的基本概念、类型、属性、嵌套与结构以及注意事项,您可以创建出结构良好、内容丰富的网页。HTML元素可以嵌套在其他元素中,形成嵌套结构。是段落元素的结束标签,而“这是一个段落”则是元素的内容。元素又可以含其他内联元素。是段落元素的开始标签,6>`标签定义表格。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值