web安全基础

动手搭建第一个你的网站

phpstudy是一个php集成环境
一般网站套件组合
apache+php+mysql

apache:web容器,容下网站的东西,即支持http协议的一个容器,网站必不可少
php:实现网站功能的脚本编程语言
c:编译型语言 编译生成文件 才能运行
php:脚本语言是不需要编译的,是解释型语言。代码写进去,通过解释器直接生成一个文件,而不需要另外生成一个文件
mysql:登录时的用户、密码 存储在数据库管理系统中,通过mysql可以操作数据。

专业术语

域名
域名解析
木马:
软件木马,远程控制对方电脑
脚本木马,可以通过脚本木马控制你的网站
社工(人肉)
IP:网络地址
后门
poc(proof of concept):验证漏洞的工具
exp(exploit):利用漏洞的工具

http协议

域名:
www.baidu.com

网址:http://www.baidu.com/

协议://host:port/

编码

1.URL编码:
一种用来打包表单输入的格式。
编码格式为:%号+16进制
2.base 64编码:
最常见用于传输8b字节的编码方式之一
编码格式:大小写字母数字/大小写字母+=
3.html实体化编码
在html中不能使用<号和>号,这是因为浏览器会误认为他们是标签,所以使用实体化编码
编码格式:&开头/&#开头,结尾

加密
MD5(消息摘要算法第五版)为计算机安全广泛使用的函数。
1.压缩性 任意长度数据,算出的MD5的长度是固定的
2.容器计算 从原数据计算MD5很容易
3.抗修改性,对原数据修改一个字节也会对MD5有一个很大的改变
4.强抗碰撞已知原数据和MD5值,想找到一个具有相同MD5值的数据是非常难的
MD5默认长度16和32位
只包含abcdef这几个字母和数字0-9

DOS命令初识

DOS和CMD
CMD只是调出DOS的命令,因为在没有我们现在用的系统之前,dos占据统治地位,有些问题用DOS解决还是非常好的。

常用的DOS命令

  1. 通配符:
    '*'代替一个或多个字符
    '?'代替一个字符
  2. 查看命令
    cd dir more type
  3. 操作命令
    md rd copy del ren(重命名)

信息收集

1.网站信息刺探
查找站点链接的方法:
暴力破解:御剑
搜索引擎: who is+网址 &通过删掉备案号查询

  • 高级语法:
    intitle
    intext
    inurl
    site:baidu.com
    inurl:baidu.com
    intitle:baidu.com
    intext:baidu.com
    站内爬虫
    旁站(同一ip下的其他网站)C段(ip地址范围是1.1.1.1-1.1.1.255的):
  • 大数据平台:zoomeye 钟馗之眼
  • 在线C段查询 https://phpinfo.me/bing.php
  • 子域名查询 Layer子域名挖掘机

2.服务器信息刺探
live http headers获取网站的响应报文
服务器分为两种:
远程(云)服务器和物理服务器
获取服务器的IP的方法:

  • ping:dos命令获取服务器IP
  • 多地ping:在多地方ping确认真是IP
  • IP反查:进一步确认真实ip对应的网站

CDN服务器:缓存服务,帮助用户更快的访问网站。作为安全保护,可以掩藏真实ip。
绕过思路:

  • 使用国外的dns,可能会得到真实ip
  • 查询网站的历史解析记录
    https://www.netcraft.com/site_report?url=baidu.com

nmap:
-sS 半开扫描 不会记录日志,但需要root权限
-sA 用来穿过防火墙的规则集,速度慢
扫描C段:
nmap -sP www.baidu.com/24 -oN 1.txt

nmap +脚本引擎 nmap --script

3.个人信息刺探

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全是指保护Web应用程序和Web服务器免受各种安全威胁和攻击的一门技术。你是一个零基础的入门学习者,以下是一些建议: 1. 学习基础知识:首先,你需要了解Web的基本工作原理和常见的Web安全威胁。你可以学习关于HTTP协议、URL编码、会话管理和身份验证等方面的知识。 2. 学习常见攻击手法:了解常见的Web安全攻击手法,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。这些攻击手法是黑客常用的手段,通过学习它们,你可以更好地了解如何预防和应对这些攻击。 3. 实践漏洞挖掘与修复:通过搭建实验环境,学习如何发现和利用常见的Web漏洞,如SQL注入和XSS。然后学习如何修复这些漏洞,加强Web应用程序的安全性。 4. 了解Web应用防火墙(WAF):WAF是一种用于防御Web攻击的安全设备,它可以检测和阻止恶意请求。学习WAF的工作原理和配置,可以帮助你更好地了解如何保护Web应用程序免受攻击。 5. 学习安全产品和工具:了解一些常见的安全产品和工具,如IDS/IPS、WAF、数据库网关等。这些工具可以帮助你监测和防御Web攻击,提高系统的安全性。 总之,学习Web安全需要理论知识的积累和实践经验的积累。通过学习常见的攻击手法、实践漏洞挖掘与修复以及了解安全产品和工具,你可以逐步提升自己的Web安全技能和知识。引用<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(2023版)零基础入门网络安全/Web安全,收藏这一篇就够了](https://blog.csdn.net/2301_76168381/article/details/129266018)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值